以太坊再次爆发了主要的漏洞。

江苏快三全天人工计划 2018-11-05 20:26:21 133

  灾难并非孤军奋战。在比特币突破6000美元的底线之后,以太坊爆炸了。今天早上,区块链安全公司PeckShield披露了一个安全漏洞:通过发送恶意邮件,攻击者可以对以太坊发起攻击。一旦成功,以太坊的2/3节点将停止并引发地震。在区块链安全的世界中,很难找到稳定性,并且一步一步是令人震惊的。 01“致命消息”漏洞被命名为:“致命消息”。它出现在以太坊官方客户端上。后者对以太坊至关重要:大约70%的节点在geoth之上运行,包括交换和采矿池等关键节点。通过此漏洞,攻击者可以直接让以太坊离开。一旦成功,以太坊市场将面临大地震。 PeckShield揭示了区块链“致命信息”漏洞的细节:以太坊的核心是所有客户必须遵循相同的协议才能保持共识。这些协议由RLPx、DΞVp2p和其他子协议组成,包括以太坊线协议、轻量级以太坊协议。为了支持轻量级客户端,轻量级以太网协议(LES)允许以太网节点在同步获取块时仅下载块的块,然后在需要时检索块的其余部分。为了实现此功能,还需要一个完整节点(或归档节点)作为LES服务器来为轻量级节点提供服务。您可以通过执行以下命令来启动支持LES服务的geth完整节点:geth -lightserv 20当从LES服务器请求块头时,LES客户端将发起类型为GetBlockHeaders的消息,以及LES的消息处理器服务器负责相应的分析工作。 LES客户端发送的查询请求遵循以下格式:从第17行开始,LES服务器处理非反向分支。在第19行,LES服务器将检测到查询被忽略。跳过块之后,还有一个块头可用吗?如果测试通过,将调用Get Block Hashes From Hash方法(即第20行)并返回一个块头数组。但是,LES服务器未验证其作为输入的请求的有效性。攻击者可以构造类似查询的形状。恶意请求,如Skip = -1(0xFFF ... F)。当查询。 Skip + 1用作要分配的数组的最大长度参数。

  传递给Get Block Hashes From Hash方法时,将分配并返回长度为0的数组。随后,通过索引查询。跳过=0xFFF ... F访问长度为0的数组时,LES服务器将完全崩溃。 “我们第一次发现漏洞时,我们向以太坊基金会提交了漏洞报告。目前,以太坊geoth客户的开发团队已经发布了相应的补丁。“Peck Shield告诉区块链。因此,虽然漏洞普遍且危险,但它不会对以太坊造成实际损失。 Peck Shield工作人员介绍了以太坊对区块链的官方回应。 “这只是一系列漏洞之一,我们将随时公布其他漏洞,”PeckShield说。 12下一页>