以太坊(ETH)客户端Geth(Go Ethereum)8月24日时发布了安全补丁,修复会阻止以太坊节点产出区块、进而衍生出多余分叉的严重漏洞。
目前仍有超过60%的Geth节点尚未更新,已有部分节点脱离以太坊主链、发生分叉,Geth团队呼吁用户尽快更新至1.10.8版。
漏洞CVE-2021-39137最早于8月18日由安全人员Guido Vranken通过bounty@ethereum.org回复,该漏洞与EVM相关,会阻止节点生成新区块,最终导致以太坊分叉、甚至发生双花问题,Geth现有的1.10系列版本全数受到影响。
Geth团队18日当天便向用户预告重大更新、随后在6天后释出1.10.8版补丁。然而根据Ethernodes.org数据指出,目前已更新至1.10.8版的仅有38.9%,
换句话说,仍有60%的节点受到CVE-2021-39137影响。官方在推特上呼吁,所有用户都应该立刻更新。
以太坊社群KOL如开发商Andre Cronje也呼吁用户暂时不要进行交易:去外面散散步,我们都需要它(正常的以太坊主网)。
Geth开发人员也努力通过Discord频道宣导更新的必要性,更再次于推特上表示:“以太坊主网上已经发生分叉。该问题已在之前宣布的v1.10.8版本中得到解决。如果您还没有更新您的节点,请尽快更新!”
分叉目前尚未造成影响,因为运行旧版本Geth的节点是无法访问以太坊主网的,因此主链目前尚称安全,只要多数用户完成更新,本次分叉插曲将有望自动缓解。
紧急连络大型矿工升级
大型矿工如Flexpool、BTC.com和Binance尚未升级也是分叉上未缓解的原因之一,根据以太坊基金会开发人员Tim Beiko的说法,截至昨日美国东部时间下午1点,开发人员已设法联系上BTC.com和Binance:“BTC.com已经完成升级,Binance正在处理中!”
已有节点开始利用漏洞
外媒《BlockResearch》已经找到利用漏洞的地址,该地址由隐私解决服务Tornado Cash的一位用户所有,且已经在币安智能链(Binance Smart Chain)和火币ECO链上复制。
Geth开发人员Marius Van Der Wijden向外媒《Coindesk》指出,在漏洞披露之后,有人进行利用是不可避免的:“我知道有人最终会发现这个错误,我只是希望有更多人及时更新。 ”