8月28日消息,舊版本的以太坊網絡客戶端 Geth 中的一個錯誤導致運行這些版本的節點與主網絡分離。
該bug會影響舊版本的 Geth 客戶端,特別是 v1.10.7 及更早版本。運行Geth客戶端的節點占所有以太坊節點的近 75%,而Geth 客戶端中73%仍在運行舊版本。據悉,8月24日,Geth團隊發布了Geth v1.10.8版本,修復了該漏洞,但一部分節點並未升級到該版本,導致了這次漏洞的發生。
這意味着大約 54% 的以太坊節點在運行時存在發生重大基礎設施錯誤的風險。
令人擔憂的是,這可能會導致雙花攻擊,即花費了加密貨幣,但隨後交易被替代鏈覆蓋。
The Block Research 已將此地址(https://etherscan.io/address/0x1a02a619e51cc5f8a2a61d2a60f6c80476ee8ead)確定為利用該漏洞的地址,該地址由 Tornado Cash 客戶資助。這個有可能影響其他 EVM 兼容鏈的漏洞也被這個地址在幣安智能鏈和火幣生態鏈上被利用(H/t Peckshield)。它似乎沒有在 Polygon 上被利用。
這個分叉的影響
雖然一部分節點已經從網絡中分離出來,但它似乎還沒有產生巨大的影響。似乎大多數礦工都在運行更新版本的以太坊,這意味着算力支持最長的鏈。
對於運行舊版本 Geth 的節點,它們實際上無法訪問主網絡。因此,雖然可能會發生漏洞利用,但網絡目前似乎很穩定。
以太坊基金會安全負責人 Martin Swende 發推文說:“今天 #ethereum 主網出現共識漏洞,利用了 geth v1.10.8 中修復的共識漏洞。好在大部分礦工都已經更新了,正確的鏈也是最長的(canon)。”
以太坊核心開發人員 Tim Beiko 表示,三個礦池似乎一直在錯誤版本的 Geth 上挖礦,包括 Flexpool、BTC.com 和 Binance。他說 Flexpool 最初報告了這個問題,因此意識到了這一點,並且開發人員正在與其他兩個池取得聯繫。
在審計中發現錯誤
根據新聞稿,該漏洞是在 Telos EVM 審計中發現的,Telos EVM 是在 Telos 區塊鏈上運行的以太坊虛擬機版本。執行審計的 Sentnl 審計師 Guido Vranken 發現了這個漏洞,稱其為“高嚴重性問題”。
在以太坊核心開發人員獲悉該問題后,他們於 8 月 24 日發布了一個補丁來修復它。但這隻會幫助那些升級了節點的人。
當修復宣布時,一份聲明說:“確切的攻擊向量將在稍後提供,以便節點運營商和相關下游項目有時間更新他們的節點和軟件。所有支持倫敦硬分叉的 Geth 版本都存在漏洞(該漏洞比倫敦升級更早),因此所有用戶都應該更新。”
本文鏈接:https://www.8btc.com/article/6678570
轉載請註明文章出處
