Unsichere konfigurierte Ethereum -Clients ohne Firewall und freigeschaltete Konten können dazu führen, dass von Angreifern ferngerichtlich zugegriffen wird.
Betroffene Konfigurationen: Problem für Geth gemeldet, obwohl alle Implementierungen inkl. C ++ und Python können dieses Verhalten im Prinzip zeigen, wenn sie unsicher verwendet werden. Nur für Knoten, die den JSON-RPC-Port für einen Angreifer offen lassen (dies schließt die meisten Knoten in internen Netzwerken hinter NAT aus), binden Sie die Schnittstelle an eine öffentliche IP und lassen gleichzeitig die Konten beim Start entsperrt.
Wahrscheinlichkeit: Niedrig
Schwere: Hoch
Auswirkungen: Verlust von Geldern im Zusammenhang mit Brieftaschen, die in Kunden importiert oder generiert werden
Details:
Wir sind darauf aufmerksam, dass einige Personen die integrierte Sicherheit umgangen haben, die auf die JSON-RPC-Schnittstelle gestellt wurde. Mit der RPC -Schnittstelle können Sie Transaktionen aus jedem Konto senden, das vor dem Senden einer Transaktion freigeschaltet wurde, und bleibt für die gesamte Sitzung freigeschaltet.
Standardmäßig ist RPC deaktiviert, und durch die Aktivierung ist es nur über denselben Host zugänglich, auf dem Ihr Ethereum -Client ausgeführt wird. Indem Sie den RPC öffnen, der von jedem im Internet zugegriffen wird und keine Firewall -Regeln einbezieht, öffnen Sie Ihre Brieftasche von jedem, der Ihre Adresse in Kombination mit Ihrer IP kennt.
Auswirkungen auf die erwartete Kettenreorganisationstiefe: keiner
Abhilfemaßnahmen von Ethereum: ETH RC1 ist vollständig sicher, indem eine explizite Benutzerautorisierung für potenziell entfernte Transaktionen erforderlich ist. Spätere Versionen von Geth können diese Funktionalität unterstützen.
Vorgeschlagene vorübergehende Problemumgehung: Führen Sie nur die Standardeinstellungen für jeden Client aus und wenn Sie Änderungen vornehmen, verstehen Sie, wie sich diese Änderungen auf Ihre Sicherheit auswirken.
Hinweis: Dies ist kein Fehler, sondern ein Missbrauch von JSON-RPC.
Beratung: Aktivieren Sie niemals die JSON-RPC-Schnittstelle auf einer Internet-zugänglichen Maschine ohne eine Firewall-Richtlinie, um den JSON-RPC-Port zu blockieren (Standard: 8545).
ETH: Verwenden Sie RC1 oder höher.
Geth: Verwenden Sie die sicheren Standardeinstellungen und kennen Sie die Sicherheitsauswirkungen der Optionen.
–RPCADDR “127.0.0.1”. Dies ist der Standardwert, um nur Verbindungen auf dem lokalen Computer zu ermöglichen. Remote -RPC -Verbindungen sind deaktiviert
–unlock. Dieser Parameter wird verwendet, um Konten beim Start zu entsperren, um die Automatisierung zu unterstützen. Standardmäßig sind alle Konten gesperrt
