Ethereum: il mancato aggiornamento delle patch mette a rischio l’intera rete

A mettere in guardia l’ecosistema Ethereum è un rapporto del Security Research Labs che evidenzia come un numero molto rilevante di nodi della rete ethereum, tra quelli che utilizzano paity e geth (i due client più popolari), sarebbero vulnerabili a causa di mancati aggiornamenti di sicurezza. Security Research Labs evidenzia come, pure avendo segnalato il problema, sulla base dei dati raccolti attraverso ethernodes.org, solo due terzi dei nodi che usano Parity sarebbero aggiornati con le ultime patch di sicurezza; questo non è un problema di poco conto dal momento che potrebbe permettere a malintenzionati di forzare l’accesso al nodo e riuscire a spegnerlo. Se però parity ha anche una funzione di aggiornamento automatico, che però non tiene comunque conto di tutti gli aggiornamenti disponibili, ancora peggio la situazione per quanto riguarda geth. In questo caso, infatti, sono più del 40% i nodi che risulterebbero aggiornati a versioni inferiori alla v.1.8.20, risultando così particolarmente vulnerabili e a rischio sotto il profilo della sicurezza. Inoltre geth non ha una funzione di aggiornamento automatico quindi non c’è modo di forzare gli utenti a sanare questa situazione; il problema è che avere un gran numero di client potenzialmente vulnerabili indebolisce l’intera rete ethereum, rendendola più esposta agli attacchi. Se un hacker, infatti, ha la possibilità di bloccare un numero elevato di nodi, ecco che gli attacchi 51% diventano più semplici e meno dispendiosi. Il problema potrebbe essere facilmente risolto, come suggerito dalla stessa Security Research Labs, implementando processi “più affidabili” per i client che consentano l’aggiornamento automatico dei sistemi. Questo almeno per ridurre le vulnerabilità, mentre per ridurre il rischio di un attacco 51% sarebbe necessario un ulteriore decentramento della rete ethereum; nonostante al momento un attacco di questo tipo sembrerebbe ancora poco plausibile su una rete come quella di ethereum, la consapevolezza del fatto che il grosso della rete non esegue gli aggiornamenti di sicurezza potrebbe rappresentare un incentivo a provare e, al tempo stesso, rendere l’attacco fruttuoso. Security Research Labs invita quindi gli utenti ad aggiornare i loro client quanto prima anche per non rischiare, come si suol dire, di chiudere la stalla quando i buoi sono ormai già scappati.