Quão ruim é a última exploração Geth do Ethereum?

O cliente de software mais popular da blockchain Ethereum, Geth, também conhecido como “Go Ethereum”, enfrentou uma grande exploração nas versões mais antigas ontem. O bug afetou versões mais antigas de clientes Geth, especificamente v1.10.7 e anteriores.

A exploração afetou mais de 50% dos clientes Ethereum mais antigos que não atualizaram para o último hotfix lançado pelos desenvolvedores Go Ethereum em 24 de agosto. Como resultado da exploração, o blockchain Ethereum passou por um hard fork não planejado dividindo o blockchain em dois. 74% dos clientes usam Geth e desses 73% estavam na versão mais antiga, o que significa que 54% dos nós Ethereum estão sendo executados com o bug.

A equipe Go Ethereum descobriu a vulnerabilidade em 18 de agosto, mas não revelou a natureza dela para evitar que outros explorassem o problema. O líder da equipe Ethereum, Péter Szilágyi, disse que revelaria o vetor de ataque em uma próxima data,

“O vetor de ataque exato será fornecido posteriormente para dar tempo aos operadores de nós e projetos dependentes de downstream para atualizar seus nós e software,”

Embora a equipe Go Ethereum não tenha revelado a natureza da vulnerabilidade, parece que o invasor conseguiu descobrir e começou a atacar clientes mais antigos que não atualizaram o hotfix. Embora a rede tenha solicitado que todos atualizassem para a versão mais recente, os dados sugerem que apenas 30% dos validadores o fizeram, o que facilitou o ataque quando a vulnerabilidade foi encontrada.

Qual foi a natureza do ataque e como isso afeta o Ethereum Blockchain?

A ideia de alertar as pessoas sobre o bug com antecedência falhou miseravelmente, pois era uma questão de tempo até que alguém conseguisse identificar o problema. Os desenvolvedores do Ethereum acreditam que o plano falhou miseravelmente, mas mais ainda porque os validadores de nós não conseguiram atualizar para a versão corrigida a tempo. O invasor conseguiu confirmar alterações em um contrato pré-compilado adicionando uma alteração no mesmo local de memória como uma função.

Um usuário do Twitter que atende pelo nome de “Good Guy Biker – Vancouver BC Canada” deu um detalhamento completo da exploração e também explicou a natureza do ataque. Como resultado da vulnerabilidade, a rede Etheruem estava executando duas cadeias simultaneamente e, se a ruim não fosse descartada a tempo, poderia levar a um gasto duplo ou ataque de 51%, já que a maioria dos validadores não atualizou seus clientes.

Esta não é a primeira vez que a rede Ethereum enfrenta uma divisão de cadeia devido a uma vulnerabilidade na versão cliente mais antiga do Geth. Em novembro, um problema semelhante levou a outra divisão da cadeia, pois os validadores não conseguiram atualizar. Falando sobre o pré-anúncio, um desenvolvedor do Ethereum disse,

“Na última vez que fizemos um hotfix, as pessoas ficaram com raiva por não termos anunciado. Desta vez decidimos tentar de forma diferente. Vamos ver qual funciona melhor”,

You May Also Like

About the Author: Medusa