Các client chưa vá lỗi trên network Ethereum là nguyên nhân cho tấn công 51%

 Các client chưa vá lỗi trên network Ethereum có thể sẽ gây nên rủi ro an ninh nghiêm trọng, dẫn đến tấn công 51%.


Theo báo cáo từ Security Research Labs, sau khi sử dụng dữ liệu từ ethernodes.org, họ nhận thấy network Ethereum đang mắc phải một lỗi vô cùng nghiêm trọng.

Cụ thể, báo cáo nêu rõ:

“Một lượng lớn các node đang sử dụng phần mềm client của Parity và Geth vẫn chưa có động thái vá lỗi. Dù cho phiên bản sửa chữa lỗ hổng an ninh đã được công bố.

Chúng tôi đã ghi nhận nhiều lỗ hổng an ninh từ phía các client của Parity từ tháng 02/2019. Và điều đó có thể khiến các node này bị tấn công.”

Báo cáo tiếp tục khẳng định:

“Theo dữ liệu thu thập được, 2/3 số node hiện chưa được vá lỗi. Ngay sau khi chúng tôi thông báo về lỗ hổng trên, Parity đã đưa ra cảnh báo an ninh, khuyến khích người tham gia phải liên tục cập nhật node của mình.”

Tuy nhiên, tính đến thời điểm tiendientu.org thực hiện bài viết, chỉ có 30% các node của Parity sử dụng bản vá lỗi được công bố vào ngày 02/03. Trong khi đó, 7% các node Parity vẫn sử dụng phiên bản cũ và không theo những quy chuẩn vá lỗi công bố trong tháng 07/2018.

tiendientu.org-nguyen-nhan-cho-tan-cong-51-tren-ethereum
Biểu đồ: Tỷ lệ các node Ethereum chưa được vá giảm dần theo thời gian.

Tình hình của Parity vẫn chưa phải là tệ nhất. Theo Security Research Labs, trường hợp vá lỗi của Geth thậm chí còn tệ hơn.

Báo cáo cho biết:

“Theo thông báo từ đơn vị quản lí, khoảng 44% số node của Geth trên ethernodes.org có mức cập nhật an ninh dưới ngưỡng phiên bản v.1.8.20, phiên bản được công bố 2 tháng trước khi quá trình phân tích này diễn ra. Geth không có tính năng tự cập nhật, đặc biệt là trong cơ cấu thiết kế.”

Security Research Labs tiếp tục cho biết, nếu cứ để một lượng lớn client không được phòng thủ trước các cuộc tấn công, cả network Ethereum hiện đang phụ thuộc vào những node có mặt trên hệ thống, cũng sẽ gánh chịu rủi ro khá lớn.

Đội ngũ công ty khẳng định:

“Nếu hacker muốn, họ có thể phá hủy một lượng lớn các node, kiểm soát 51% network một cách vô cùng đơn giản. Do đó, khi các phần mềm bị ảnh hưởng lớn, những mối lo ngại rất lớn đang dổ dồn lên các node Blockchain.”

Để giải quyết vấn đề trên, cả đội ngũ đã đề xuất một quy trình đáng tin cậy hơn, cần phải được cập nhật cho các máy client. Theo đó, tính phân quyền đã được thiết lập rõ ràng hơn cho network Ethereum, bằng cách chuyển hash power ra khỏi những pool đào ETH tâp trung nhiều miner. Song, đội ngũ cũng cho biết, giải pháp trên không thể quan trọng bằng việc nâng cao nhận thức rõ ràng về an ninh, đối với các máy tính tham gia vào hệ thống.