Оффлайн
Apollon
Заблокирован
- Регистрация
- 07.09.17
- Сообщения
- 5.309
- Реакции
- 1.010
- Репутация
- 1.625
Специализирующееся на киберугрозах подразделение технологического конгломерата Cisco Systems Inc. обнаружило целый ряд уязвимостей в программном обеспечении Ethereum-клиентов Parity и Ethereum C++ (CPP).
Как пришли к выводу специалисты Cisco, неправильная обработка смарт-контрактов операционным кодом create2 может спровоцировать DoS-атаку. Злоумышленник может задействовать функцию SHA1 для обработки огромного количества данных.
Внедрение create2 в основную сеть Ethereum запланировано в рамках второй фазы хардфорка Metropolis под названием Constantinople.
Указанная уязвимость на данный момент угрожает только тем нодам, которые уже используют опкод create2. Однако в потенциале сеть Ethereum может столкнуться с риском одновременной атаки на все ноды сразу после осуществления хардфорка, когда create2 войдет в список настроек по умолчанию.
Кроме того, считают в Cisco, злоумышленник может получить конфиденциальные информацию в виде адреса смарт-контракта в результате утечки данных в виртуальной машине Ethereum (EVM).
ПО Ethereum-клиента Parity написано на языке программирования Rust и по умолчанию предоставляет интерфейс JSON-RPC, поддерживающий довольно “либеральную” политику кросс-доменных запросов. При посещении вредоносных сайтов неправильная конфигурация daemon-потока интерфейса может привести к утечке конфиденциальной информации. Кроме того, злоумышленник может получить доступ к установкам Parity и конфигурации сети.
Специалисты по безопасности также отмечают, что многие API в CPP в имплементации интерфейса JSON-RPC подвержены риску вредоносных JSON-запросов, которые могут помочь злоумышленнику получить права администратора к ограниченному функционалу таких API в обход процесса авторизации.
Примечательно, что даже преобразователь IP-адресов в этом случае остается незащищенным от CSRF- и SSRF-атак.
Уязвимость в серверной имплементации JSON-RPC также может стать лазейкой для потенциальной DoS-атаки. Из-за ошибок в обработке некоторых API злоумышленник может отправить неправильно скомпилированный JSON-пакет и заблокировать таким образом нормальную работу ноды.
Как пришли к выводу специалисты Cisco, неправильная обработка смарт-контрактов операционным кодом create2 может спровоцировать DoS-атаку. Злоумышленник может задействовать функцию SHA1 для обработки огромного количества данных.
Внедрение create2 в основную сеть Ethereum запланировано в рамках второй фазы хардфорка Metropolis под названием Constantinople.
Указанная уязвимость на данный момент угрожает только тем нодам, которые уже используют опкод create2. Однако в потенциале сеть Ethereum может столкнуться с риском одновременной атаки на все ноды сразу после осуществления хардфорка, когда create2 войдет в список настроек по умолчанию.
Кроме того, считают в Cisco, злоумышленник может получить конфиденциальные информацию в виде адреса смарт-контракта в результате утечки данных в виртуальной машине Ethereum (EVM).
ПО Ethereum-клиента Parity написано на языке программирования Rust и по умолчанию предоставляет интерфейс JSON-RPC, поддерживающий довольно “либеральную” политику кросс-доменных запросов. При посещении вредоносных сайтов неправильная конфигурация daemon-потока интерфейса может привести к утечке конфиденциальной информации. Кроме того, злоумышленник может получить доступ к установкам Parity и конфигурации сети.
Специалисты по безопасности также отмечают, что многие API в CPP в имплементации интерфейса JSON-RPC подвержены риску вредоносных JSON-запросов, которые могут помочь злоумышленнику получить права администратора к ограниченному функционалу таких API в обход процесса авторизации.
Примечательно, что даже преобразователь IP-адресов в этом случае остается незащищенным от CSRF- и SSRF-атак.
Уязвимость в серверной имплементации JSON-RPC также может стать лазейкой для потенциальной DoS-атаки. Из-за ошибок в обработке некоторых API злоумышленник может отправить неправильно скомпилированный JSON-пакет и заблокировать таким образом нормальную работу ноды.
Оффлайн
- Регистрация
- 27.12.17
- Сообщения
- 1.082
- Реакции
- 175
- Репутация
- 137
Вопрос времени когда хакеры начнут взламывать клиенты и красть эфир который единственный кто не падает в цене.
Оффлайн
- Регистрация
- 10.01.18
- Сообщения
- 7
- Реакции
- 1
- Репутация
- 3
Зато как Ethereum подрос за сегодня
Оффлайн
Apollon
Заблокирован
- Регистрация
- 07.09.17
- Сообщения
- 5.309
- Реакции
- 1.010
- Репутация
- 1.625
Врятли они проломят эту крипту.
Оффлайн
- Регистрация
- 27.12.17
- Сообщения
- 1.082
- Реакции
- 175
- Репутация
- 137
Написано же в теме что там есть уязвимости а это как приманка для хакеров.
Оффлайн
Apollon
Заблокирован
- Регистрация
- 07.09.17
- Сообщения
- 5.309
- Реакции
- 1.010
- Репутация
- 1.625
Контора серезная, уже наверное все устранили.
Оффлайн
- Регистрация
- 27.12.17
- Сообщения
- 1.082
- Реакции
- 175
- Репутация
- 137
Хакеры всё равно ведь если захотят найдут лозейку. Просто ждут.
Оффлайн
Apollon
Заблокирован
- Регистрация
- 07.09.17
- Сообщения
- 5.309
- Реакции
- 1.010
- Репутация
- 1.625
Чего ждут?
Оффлайн
- Регистрация
- 27.12.17
- Сообщения
- 1.082
- Реакции
- 175
- Репутация
- 137
Они уже хорошо так украли и наверное отдыхают, тратят деньги и просто живут.
Оффлайн
Apollon
Заблокирован
- Регистрация
- 07.09.17
- Сообщения
- 5.309
- Реакции
- 1.010
- Репутация
- 1.625
Ты 5 минут назад сказал что чего то ждут а теперь же отказываешься от своих слов.
Оффлайн
- Регистрация
- 27.12.17
- Сообщения
- 1.082
- Реакции
- 175
- Репутация
- 137
А как ты будешь ждать если у тебя есть полно денег? Я бы ганял на машине и ходил в стриптиз бары и просто жил.
Оффлайн
Apollon
Заблокирован
- Регистрация
- 07.09.17
- Сообщения
- 5.309
- Реакции
- 1.010
- Репутация
- 1.625
Ты сам сказал что они ждут, это НЕ Я СКАЗАЛ а ТЫ!
-
В данный момент Ваши права ограничены!
Авторизуйтесь или зарегистрируйтесь, чтобы стать полноценным участником форума.