Welche schlimmen Dinge könnten passieren, wenn Geth RPC öffentlich ist?

Question

Welche schlimmen Dinge könnten passieren, wenn Geth RPC öffentlich ist?

Calvin Lau

Geth wird nicht mit RPC-Unterstützung ausgeliefert. Standardmäßig aktiviert Geth Module ["net", "web3", "eth", "shh"]. Falls der RPC kompromittiert wird, welche schlimmen Dinge könnten passieren?

Verlorenes Geld wird definitiv der erste Platz sein

Angenommen, Sie haben eine von Geth verwaltete Brieftasche, können die Leute jedes Guthaben frei nach innen schicken.

Gibt es, abgesehen von verlorenem Geld, noch andere Dinge, die möglicherweise passieren könnten?

Zum Beispiel, wenn ich den Knoten nur als Block-Tracker betreibe und überwache, ob Geld an meine Adresse gesendet wird. Hat RPC die Fähigkeit, sie ebenfalls zu beeinflussen?

Ismael

Einige Funktionen wie komplexe Filter können viele Ressourcen verbrauchen, wenn sie missbraucht werden, können Sie einen Denial-of-Service-Angriff erleiden.

Antworten (2)

Welche schlimmen Dinge könnten passieren, wenn Geth RPC öffentlich ist?

Einige Funktionen wie komplexe Filter können viele Ressourcen verbrauchen, wenn sie missbraucht werden, können Sie einen Denial-of-Service-Angriff erleiden.

Nulik · Answer 1

Es wird nichts Schlimmes passieren, wenn Sie keine Konten auf diesem Knoten entsperren. Die Blockchain-Daten sind öffentliche Informationen, daher ist das Ausführen von RPC mit * in rpccorsdomain kein Problem. RPC hat keine privaten Informationen, es ist das personalModul, das sie enthält. Rufen Sie nicht personal.unlockAccount() auf Ihrem Knoten auf und alles wird gut.

Weder speichert Kontoinformationen.

Michail Wladimirow · Answer 2

Viele schlimme Dinge können passieren, hier ist eine unvollständige Liste davon:

Jeder kann Transaktionen/Nachrichten mit Ihren privaten Schlüsseln signieren, solange Sie sie entsperren
Jeder kann Ressourcen Ihres Knotens verwenden, um den Blockchain-Status abzufragen (einige Abfragen könnten sehr CPU- und HDD-intensiv sein).
Jeder kann Ressourcen Ihres Knotens verwenden, um große Mengen an Transaktionen zu veröffentlichen, z. B. wenn DDOS-Angriffe auf das Ethereum-Netzwerk durchgeführt werden
Jeder kann bekannte RPC-Schwachstellen in der Software Ihres Knotens ausnutzen, insbesondere wenn die Software Ihres Knotens nicht auf dem neuesten Stand ist
Jeder kann Ihren Knoten nicht mehr reagieren lassen oder ihn sogar zum Absturz bringen, indem er mit teuren Abfragen spammt

Wie konnten sie mit teuren (ich nehme hohe Gas-Txs) Anfragen spammen?

Welche schlimmen Dinge könnten passieren, wenn Geth RPC öffentlich ist?

Calvin Lau

Ismael

Antworten (2)

Nulik

Michail Wladimirow

Alper

Persönliche API-Dokumentation für JSON RPC

Warum ist das Offenlegen der persönlichen API unsicher?

Wie können Sie die Wahrscheinlichkeit verringern, dass Ihre Ethereum-Wallet gehackt wird?

Wie kann ich ein neues Konto mit JSON-RPC erstellen?

Rufen Sie RPC-Verbindungen sicher ab

Geth JSON-RPC gibt nur 0, null oder Fehler zurück

Wie lösche ich den Geth-Konsolenverlauf?

web3.isConnected() gibt false zurück, wenn eine Verbindung zu geth mit web3.js hergestellt wird

Wie checke ich alle Token-Transaktionen in einer Ether-Transaktion mit GETH aus?

Zugriff auf geth über JSON-RPC nicht möglich. Es gibt {"jsonrpc":"2.0","error":{"code":-32600,"message":"EOF"}} zurück