Go-Ethereum

如果 Geth RPC 是公開的,會發生什麼壞事?

  • November 11, 2019

Geth 不附帶 RPC 支持。預設情況下,Geth 啟用模組["net", "web3", "eth", "shh"]。如果 RPC 被入侵,會發生什麼樣的壞事?

賠錢肯定是第一位的

假設你有一個由 Geth 管理的錢包,人們可以自由地將任何餘額發送出去。

除了金錢損失之外,還有其他可能發生的事情嗎?

例如,如果我只是將節點作為塊跟踪器執行並監控是否有任何資金發送到我的地址。RPC 是否也有能力影響它們?

可能會發生許多不好的事情,以下是它們的不完整列表:

  1. 只要您解鎖,任何人都可以使用您的私鑰簽署交易/消息
  2. 任何人都可以使用您節點的資源來查詢區塊鏈狀態(某些查詢可能非常佔用 CPU 和 HDD)
  3. 任何人都可能使用您節點的資源發布大量交易,即在對乙太坊網路進行 DDOS 攻擊時
  4. 任何人都可能利用您節點軟體中的已知 RPC 漏洞,尤其是在您的節點軟體不是最新的情況下
  5. 任何人都可能通過發送昂貴的查詢來使您的節點無響應甚至崩潰

如果您不解鎖此節點上的任何帳戶,則不會發生任何不好的事情。區塊鏈數據是公共資訊,因此在 rpccorsdomain 中使用 * 執行 RPC 不是問題。RPC 沒有任何私有資訊,它是personal包含它的模組。不要在你的節點上呼叫personal.unlockAccount(),一切都會好起來的。

既不儲存帳戶資訊。

引用自:https://ethereum.stackexchange.com/questions/41427