O coletivo global de pesquisas de hacking SRLabs disse que apenas 2/3 dos softwares de client da Ethereum rodam em nós de Ethereum que foram corrigidos contra uma falha de segurança crítica descoberta neste ano. A notícia foi publicada pelo site de tecnologia financeira ZDNet em 17 de maio.

Um relatório do SRLabs compartilhado com o ZDNet teria revelado que a falha crítica é uma vulnerabilidade de negação de serviço (DoS) no client Parity da Ethereum. Como o SRLabs destacou, a falha pode permitir que um hacker bloqueie remotamente os nós legítimos do Parity Ethereum enviando pacotes malformados.

Se os nós maliciosos suficientes sobrecarregarem a rede e obtiverem uma maioria de 51%, eles poderão comprometer duplamente os gastos e validar transações não confiáveis, observa o ZDNet.

Enquanto o problema foi relacionado com o lançamento da versão 2.2.10 do client Parity Ethereum na metade de fevereiro — apenas alguns dias depois da falha ser reportada pelo SRLabs — o pesquisador do SRLabs Karsten Nohl disse ao ZDNet que:

"De acordo com nossos dados coletados, apenas dois terços dos nós foram corrigidos até agora"

Um mês depois que o problema foi resolvido com um novo lançamento da Parity, pesquisadores do SRLabs teriam analisado a blockchain Ethereum para saber quantos nós Parity haviam atualizado seus clients para a nova versão. O relatório diz:

"Um mês depois do alerta, nós usamos os dados do Ethernodes.org para acessar o panorama de segurança de nós da Ethereum e descobrimos que cerca de 40% dos nós Parity Ethereum escaneados [...] permanecem sem correção e então vulneráveis ao ataque mencionado."

Os dados indicam que os nós de paridade não corrigidos representam 15% de todos os nós rastreados - o que significa que 15% de todos os nós Ethereum são vulneráveis a um potencial ataque de 51%.

O ritmo lento das correções em resposta às vulnerabilidades descobertas teria sido demonstrado em uma análise mais ampla da SRLabs, que descobriu que 7% dos nós ativos da Parity Ethereum não foram corrigidos por nove meses, deixando-os suscetíveis a outras falhas detectadas.

Um ritmo lento também foi descoberto em outro client de nós de Ethereum, o Go-Ethereum (Geth), com 44% dos nós Geth não passaram por uma atualização de segurança crítica (v1.8.21).

Nohl nota que o processo de atualização automatizada altamente complexo da Parity perde confiabilidade quando os nós não são configurados corretamente, enquanto o client Geth não tem sistema de atualização automática.

Os nós não corrigidos revelam risco para toda a rede, já que eles poderiam ser paralisados para reduzir os custos de realizar um ataque de 51% em toda a blockchain, observa o ZDNet.

Em março, pesquisadores da plataforma de negociação de criptomoedas BitMEX descobriram um potencial bug no nó completo da Parity Ethereum, que eles, que alegaram ser improvável de ser explorado.