Gruppo di esperti mette in guardia sui rischi della sicurezza di Ethereum
L’intero network Ethereum potrebbe essere di fronte alla minaccia di un attacco del 51% a causa di alcuni clienti che sono ancora senza patch, secondo un recente rapporto di ricerca del gruppo di consulenti ed esperti in hacking collettivo della Security Research Labs, con sede a Berlino. Ciò è dovuto al fatto che un terzo dei nodi Ethereum Parity non ha ancora applicato una patch di sicurezza critica un mese dopo la sua pubblicazione.
Controllando più della metà della potenza di calcolo su una rete, noto anche come attacco del 51%, un malintenzionato potrebbe sovrascrivere le decisioni prese da altri partecipanti alla rete, consentendogli di usare due volte i fondi, tra le altre preoccupazioni. I nodi che utilizzano il client software Parity per accedere alla rete Ethereum che non ha ancora aggiornato i propri client possono essere arrestati in remoto a causa di un bug nel sistema, afferma il gruppo di esperti. Secondo Security Research Labs, da quando è stata rilasciata una patch per questo bug, solo due terzi di tutti i nodi Parity sono stati aggiornati.
"Un mese dopo questo avviso [fatto nel febbraio 2019], abbiamo utilizzato i dati di Ethernodes.org per valutare la sicurezza del panorama dei nodi di Ethereum e abbiamo rilevato che circa il 40% di tutti i nodi Ethereum Parity scansionati, che rappresentano il 15% di tutti i nodi scansionati, è rimasto senza patch e quindi vulnerabile all’attacco citato. Un’altra patch rilasciata il 2 marzo 2019 ha aggiornato circa il 70% dei nodi di Ethereum di Parity, lasciando ancora un altro 30% obsoleto", riferiscono.
Il rapporto aggiunge che "sono necessari meccanismi di aggiornamento più affidabili" a cui propongono l’uso di una funzione di aggiornamento automatico – qualcosa che Parity ha, ma "soffre di una complessità elevata e alcuni aggiornamenti vengono lasciati fuori". Quando usa le impostazioni predefinite per Parity, il client scarica solo le patch che essa considera critiche e sembra che la soglia sia troppo bassa.
Parity non è l’unico client con questo problema. Geth, un’altra popolare scelta di client Ethereum, non è stato progettato con questo meccanismo di aggiornamento automatico, cosa che sta creando problemi anche a loro: "Secondo i loro annunci pubblici, circa il 44% dei nodi Geth visibili su ethernodes.org erano inferiori alla versione v. 1.8.20, un aggiornamento critico per la sicurezza, rilasciato due mesi prima della nostra misurazione."
Tuttavia, il rapporto aggiunge che non tutti i nodi forniscono la stessa quantità di potenza di calcolo, quindi i rischi possono essere ridotti, poiché "la potenza di calcolo appare altamente concentrata in un piccolo numero di nodi". Se questi nodi sono ben mantenuti, altri partecipanti hanno poco di cui preoccuparsi – ma il rischio è sempre presente e non dovrebbe essere sottovalutato.
Non è la prima volta che la rete Ethereum si trova di fronte a seri rischi. Nel dicembre 2018, un certo numero di piattaforme di mining di Ethereum sono state attaccate a causa di una porta che è stata esposta quando non avrebbe dovuto esserla, probabilmente a causa dei miners che hanno armeggiato con essa senza essere consapevole dei rischi.
Inoltre, ISE, una società di consulenza sulla sicurezza con sede a Baltimora, Maryland, ha recentemente dichiarato di avere scoperto 732 chiavi private così come le corrispondenti chiavi pubbliche che hanno impegnato 49.060 transazioni sulla blockchain di Ethereum.
