以太坊parity客戶端全版本遠程DoS漏洞分析_QUO

編者按：本文來自DVPNET，作者DVPNET，Odaily星球日報經授權轉載。本文由五個章節組成，分別是Parity相關介紹、UTF-8編碼是什么、Rust危險的字符串切片、漏洞分析、修復方案和總結。今天我們將由淺入深地為各位讀者展示以太坊的parity客戶端全版本遠程DoS漏洞分析。

一、Parity相關介紹

以太坊Parity客戶端是除Geth之外使用量最高的一款以太坊客戶端，使用的是Rust語言。根據ethernodes最新數據顯示：以太坊Parity客戶端在整個以太坊網絡中占30%，Geth客戶端占40%。

CNBC主持人：我擁有大量以太坊:CNBC主持人Jim Cramer表示，他擁有大量以太坊，最初購買它是為了競標3月被《時代》雜志拍賣的NFT 。他表示，最終或許會用以太坊買房子。（CNBC）[2021/5/5 21:24:12]

在今年2月3日時，這款客戶端官方發表公告稱修復了一個遠程拒絕服務的嚴重漏洞，這個漏洞影響2

'-H"Content-Type:application/json"-XPOSTlocalhost:8545利用的話也很簡單，將”交易hash”替換為中文字符串就行了，例如：curl--data'{"method":"eth_getTransactionByHash","params":,"id":1,"jsonrpc":"2

數據：以太坊鏈上錨定BTC的代幣總量為152900枚:DeBank數據顯示，以太坊鏈上錨定BTC的代幣總量為152900枚，其中，WBTC總量為122281枚，renBTC總量為20374枚，HBTC總量為6010枚。[2020/11/5 11:45:12]

'-H"Content-Type:application/json"-XPOSTlocalhost:8545實際演示一下：

動態 | LiquidEOS 提出交易頻率指數 TFI 概念 EOS 的 TFI 大于以太坊:據 IMEOS 報道，來自以色列的 EOS 節點 LiquidEOS 提出了交易頻率指數 TFI（Transaction Frequency Index）的概念，作為衡量區塊鏈健康程度的指標。 TFI 的計算方法是將每日交易計數除以活躍地址的數量來計算的。為了平滑曲線，每個度量使用了七天移動平均值。TFI 指數越高，區塊鏈越是健康。

下圖為 ETH 和 EOS 的 TFI 時間走勢。自牛市高位以來，以太坊鏈上的活躍地址數量下降了約67％，反映了以太坊市場的悲觀情緒。然而，以太坊的 TFI 最近達到了 2.5 的最高點，這表明那些活躍的用戶勇敢地度過了加密的冬天，在這個鏈條上變得越來越活躍。EOS 的 TFI 明顯大于 ETH。在 11 月底到達 63 的當地最低標準后，EOS 的 TFI 在 12 月的前兩周飆升至 250 以上。[2018/12/17]

可以看到在請求接口后節點確實發生了異常并崩潰了。五、修復方案和總結

官方的修復方案前面有提到，就是將字符串這種切片寫法全部修改掉。不過這只是一時的修補方案，若想長久的預防此類漏洞，我們認為公鏈開發者應該要比傳統軟件開發者更了解語言的特性，因為很多代碼用常規編程思維去看問題不大，但是語言本身可能存在一些開發者并不了解的特性，在特性的輔助下漏洞就產生了，之前就有公鏈使用go語言濫用make函數，而且參數控制不當，然后產生由OOM導致的拒絕服務漏洞。故DVP安全團隊通過本期漏洞分析希望能夠借此給大家警示，區塊鏈開發者在未來的開發之路上，需要更加了解語言的特性，這樣才能讓區塊鏈生態更加穩固、安全。參考鏈接：https://www.parity.io/security-alert-parity-ethereum-03-02/https://blog.csdn.net/wowotuo/article/details/75579103https://baike.baidu.com/item/UTF-8/481798?fr=aladdinhttps://github.com/paritytech/parity-ethereum/commit/3b23c2e86d09a8a8b8cd99dfa02390177498e6b7https://wiki.parity.io/JSONRPC

Tags：QUO以太坊PARRITQUON幣以太坊幣怎么挖礦的Leopard LendingStrite

芝麻開門交易所下載