以太坊:以太坊parity客戶端全版本遠程DoS漏洞分析

編者按：本文來自DVPNET，作者DVPNET，Odaily星球日報經授權轉載。本文由五個章節組成，分別是Parity相關介紹、UTF-8編碼是什么、Rust危險的字符串切片、漏洞分析、修復方案和總結。今天我們將由淺入深地為各位讀者展示以太坊的parity客戶端全版本遠程DoS漏洞分析。

一、Parity相關介紹

以太坊Parity客戶端是除Geth之外使用量最高的一款以太坊客戶端，使用的是Rust語言。根據ethernodes最新數據顯示：以太坊Parity客戶端在整個以太坊網絡中占30%，Geth客戶端占40%。

Gerber Kawasaki首席執行官：比特幣和以太坊就像蟑螂，它們不會死:金色財經報道，Gerber Kawasaki首席執行官Ross Gerber在最近接受雅虎的采訪時將比特幣和以太坊比作“蟑螂”，以強調這兩種最大的加密貨幣的彈性。Gerber稱：“比特幣和以太坊就像蟑螂，它們不會死。從長遠來看，比特幣和以太坊一直是參與這些資產的最佳方式。在這七年里，我目睹了它們幾次差點被殺死，它們就像蟑螂一樣存活了數千年甚至數百萬年。”Gerber說他不想對沒有任何效用的加密貨幣做任何事情，因為他認為自己是一個長期投資者。他還警告加密貨幣群體稱，下一個加密冬天終將到來，而且將是“殘酷的”。[2021/12/11 7:32:06]

在今年2月3日時，這款客戶端官方發表公告稱修復了一個遠程拒絕服務的嚴重漏洞，這個漏洞影響2

聲音 | ConsenSys：以太坊礦池正在日益中心化:金色財經報道，ConsenSys研究團隊近日發布了題為《衡量區塊鏈去中心化》的報告。報告表示，隨著時間的流逝，四個礦池開始占主導地位，這些礦池合計產量占季度區塊產量的72％以上，并支付了所有礦工的83％以上。該報告稱，以太坊礦池是一個日益中心化的領域，更低的ETH價格、降低的區塊獎勵、以及相當停滯的哈希率都促使更少的礦工加入該網絡。根據ConsenSys的說法，以太坊網絡切換到權益證明共識機制將重新定義這一中心化領域，并得出結論稱，功能調用多樣性、DeFi增長和代幣分布表明總體以太坊去中心化有所增加。該報告還指出，各層的復雜性和網絡上活動的復雜性不斷增加，將來使衡量權力下放變得更加困難。[2019/11/22]

'-H"Content-Type:application/json"-XPOSTlocalhost:8545利用的話也很簡單，將”交易hash”替換為中文字符串就行了，例如：curl--data'{"method":"eth_getTransactionByHash","params":,"id":1,"jsonrpc":"2

動態 | 隱私解決方案AZTEC協議開發出適用于以太坊的全新高效通用ZK-SNARK架構:V神轉發AZTEC協議官方推特，AZTEC協議官推宣布，開發出了PLONK，這是一種全新的高效通用ZK-SNARK架構。PLONK只需要一個可信設置，所有程序都可以重復使用這個設置。PLONK足以在以太坊上被實際采用。AZTEC致力于運用零知識證明技術尋找隱私解決方案，此前獲ConsenSys領投，摩根大通（JPMorgan Chase）也在今年早些時候測試AZTEC的零知識隱私解決方案。[2019/8/24]

'-H"Content-Type:application/json"-XPOSTlocalhost:8545實際演示一下：

可以看到在請求接口后節點確實發生了異常并崩潰了。五、修復方案和總結

官方的修復方案前面有提到，就是將字符串這種切片寫法全部修改掉。不過這只是一時的修補方案，若想長久的預防此類漏洞，我們認為公鏈開發者應該要比傳統軟件開發者更了解語言的特性，因為很多代碼用常規編程思維去看問題不大，但是語言本身可能存在一些開發者并不了解的特性，在特性的輔助下漏洞就產生了，之前就有公鏈使用go語言濫用make函數，而且參數控制不當，然后產生由OOM導致的拒絕服務漏洞。故DVP安全團隊通過本期漏洞分析希望能夠借此給大家警示，區塊鏈開發者在未來的開發之路上，需要更加了解語言的特性，這樣才能讓區塊鏈生態更加穩固、安全。參考鏈接：https://www.parity.io/security-alert-parity-ethereum-03-02/https://blog.csdn.net/wowotuo/article/details/75579103https://baike.baidu.com/item/UTF-8/481798?fr=aladdinhttps://github.com/paritytech/parity-ethereum/commit/3b23c2e86d09a8a8b8cd99dfa02390177498e6b7https://wiki.parity.io/JSONRPC

Tags：QUO以太坊PARRITQUO價格以太坊價格今日行情美元兌人民幣PARK幣Charity Coin

Polygon