QUO:以太坊parity客户端全版本远程DoS漏洞分析

编者按:本文来自DVPNET,作者DVPNET,Odaily星球日报经授权转载。本文由五个章节组成,分别是Parity相关介绍、UTF-8编码是什么、Rust危险的字符串切片、漏洞分析、修复方案和总结。今天我们将由浅入深地为各位读者展示以太坊的parity客户端全版本远程DoS漏洞分析。

一、Parity相关介绍

以太坊Parity客户端是除Geth之外使用量最高的一款以太坊客户端,使用的是Rust语言。根据ethernodes最新数据显示:以太坊Parity客户端在整个以太坊网络中占30%,Geth客户端占40%。

过去24小时以太坊鲸鱼新增价值超过2400万美元的SAND代币:金色财经报道,根据WhaleStats的数据,名为Azog和Blue Whale 0069的两条以太坊鲸鱼分别增加了6,620,000SAND(约2297万美元)和510,603(约176万美元)。数据显示,鲸鱼正在长期积累代币。SAND轻松进入过去7天和30天购买的顶级代币列表。最大的ETH钱包拥有价值1.8667亿美元的SAND代币。它仅占其总持股量的1.76%。FTX代币仍然是以太坊鲸鱼持有的最大代币。他们持有价值超过18亿美元的FTX代币。(coingape)[2022/4/6 14:06:36]

在今年2月3日时,这款客户端官方发表公告称修复了一个远程拒绝服务的严重漏洞,这个漏洞影响2

数据:以太坊gas费回落至1美元附近:GasNow数据显示,以太坊gas费回落至1美元附近,其中快速确认gas费为21 Gwei,约合1.12美元。[2021/5/31 22:59:38]

'-H"Content-Type:application/json"-XPOSTlocalhost:8545利用的话也很简单,将”交易hash”替换为中文字符串就行了,例如:curl--data'{"method":"eth_getTransactionByHash","params":,"id":1,"jsonrpc":"2

彭博社:灰度以太坊信托本周暴跌50%,凸显流动性风险:据彭博社消息,尽管ETH的价格略有上涨,灰度以太坊信托(Grayscale Ethereum Trust)的价格本周下跌了50%以上。研究机构Coin Metrics联合创始人Nic Carter表示,之所以出现暴跌,是因为对冲基金等所谓的合格投资者在强制性的12个月锁定期结束后开始清算所持资产。Carter指出,该信托交易价较资产净值溢价800%。他进一步解释称:“这意味着极端低效的情况可能会像我们最近看到的那样发展。对于那些未能做好尽职调查的散户投资者来说,这是个坏消息。”注:该信托只对机构投资者和合格投资者开放。[2020/6/25]

'-H"Content-Type:application/json"-XPOSTlocalhost:8545实际演示一下:

可以看到在请求接口后节点确实发生了异常并崩溃了。五、修复方案和总结

官方的修复方案前面有提到,就是将字符串这种切片写法全部修改掉。不过这只是一时的修补方案,若想长久的预防此类漏洞,我们认为公链开发者应该要比传统软件开发者更了解语言的特性,因为很多代码用常规编程思维去看问题不大,但是语言本身可能存在一些开发者并不了解的特性,在特性的辅助下漏洞就产生了,之前就有公链使用go语言滥用make函数,而且参数控制不当,然后产生由OOM导致的拒绝服务漏洞。故DVP安全团队通过本期漏洞分析希望能够借此给大家警示,区块链开发者在未来的开发之路上,需要更加了解语言的特性,这样才能让区块链生态更加稳固、安全。参考链接:https://www.parity.io/security-alert-parity-ethereum-03-02/https://blog.csdn.net/wowotuo/article/details/75579103https://baike.baidu.com/item/UTF-8/481798?fr=aladdinhttps://github.com/paritytech/parity-ethereum/commit/3b23c2e86d09a8a8b8cd99dfa02390177498e6b7https://wiki.parity.io/JSONRPC

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

链链资讯

[0:31ms0-3:333ms