Back to top
  • 공유 分享
  • 인쇄 列印
  • 글자크기 字體大小
已複製網址

以太坊(ETH) 通訊層爆高風險漏洞 CVE-2026-34219:AI 代理協助發現,節點與驗證者被急令升級 libp2p-gossipsub

以太坊(ETH) 通訊層爆高風險漏洞 CVE-2026-34219:AI 代理協助發現,節點與驗證者被急令升級 libp2p-gossipsub / Tokenpost

以太坊(ETH) 網路核心的「通訊層」被揭露存在「高風險」漏洞,*節點*營運者被要求立即更新相關元件。這項缺陷允許攻擊者透過一則精心構造的訊息,就讓節點當機,為整體市場基礎設施的穩定性敲響警鐘。

根據 7 月 9 日以太坊基金會的說明,*協議安全團隊*在使用 AI 代理進行程式碼審查時,發現編號為「CVE-2026-34219」的安全漏洞。問題源自 libp2p 中的「*gossipsub*」層,未經驗證的攻擊者僅需發送特殊訊息,即可遠端癱瘓節點。漏洞已在 libp2p-gossipsub v0.49.4 中修補,官方強調,所有仍使用舊版的營運者應「立即升級」,以確保 *以太坊(ETH)* 及其他使用相同元件的專案維持穩定。

這次出包的 *gossipsub*,是支撐以太坊(ETH) 共識客戶端運作的關鍵 P2P 訊息傳遞層,負責在網路中廣播區塊與驗證(attestation)資料。漏洞出現在 PRUNE 訊息的處理流程:系統在計算「退避時間(backoff)」時,未對時間值進行適當檢查。

攻擊方式相當直接。攻擊者向目標節點發送帶有接近最大值退避時間的 PRUNE 訊息,節點在處理過程中發生時間計算溢位(*overflow*),最終導致程式非預期終止。資安公司 SentinelOne 指出,這個攻擊流程「簡單且容易重現」,技術門檻不高。

美國國家漏洞資料庫(NVD)給這個漏洞的 CVSS 評分為 8.2,列為「高風險」。由於攻擊可以透過網路遠端執行,無需任何權限或使用者互動,風險評估明顯偏高。更嚴重的是,攻擊者可以不斷重新連線並重複發送同類訊息,長時間對節點實施「拒絕服務攻擊(DoS)」。

受影響的範圍也不僅限於以太坊(ETH)。凡是採用存在漏洞版本 Rust 實作的 libp2p-gossipsub 的系統,包括驗證者、鏈上資料索引服務以及各類輔助工具,都在潛在風險之中。換句話說,所有基於這套 *P2P 通訊庫* 的專案,都應視為需要緊急檢查與更新的對象。

此次事件另一個看點,是「*AI 代理*」在資安領域的實際應用。以太坊基金會的尼科斯·帕克塞瓦尼斯(Nikos Paxevanis)表示,團隊運行多個 AI 代理,以「平行協作」方式分析程式碼,成功找出這個漏洞。

這套系統沒有中央控制節點,而是以 Git 儲存庫為協作基礎,每個 AI 代理分別負責不同階段的工作,例如:攻擊面盤點、程式碼路徑追蹤、重現腳本產生以及結果驗證等。團隊設定的核心標準是「*可重現性*」:只有在實際程式碼中能被任意研究人員穩定重現的錯誤,才會被視為真正的漏洞。這個流程過濾掉了大量僅存在於測試環境,或在現實世界中幾乎無法被利用的「假陽性」案例。

帕克塞瓦尼斯也坦言,相較於「找出錯誤」,判定哪些是「真正具攻擊價值的漏洞」反而花費了更多資源,凸顯 *AI 資安分析*在實務落地時仍面臨的挑戰與限制。*評論*:這說明 AI 已能有效放大人類在程式審查上的能量,但「最終風險判斷」仍離不開人類專家。

值得注意的是,這次的 CVE-2026-34219 並非孤立事件。先前通報的「CVE-2026-33040」同樣與 PRUNE 訊息的退避時間處理相關,CVSS 分數更高,達 8.7。數次修補中接連出現同類問題,顯示 libp2p gossipsub 在該訊息處理邏輯上,正進行一場「*結構性加固*」,同時也反映此區域可能成為攻擊者反覆試探的主要入口。

從更宏觀的角度看,以太坊(ETH) 生態內的資安焦點,正從傳統的「智慧合約審計」,逐步延伸至「網路層與系統層程式碼」。AI 代理的導入,讓這類低層級元件的安全分析更具規模化與自動化潛力,有助於在長期內提升整體基礎設施的穩健度。不過,大量潛在線索產生後,如何在合理時間內完成篩選與驗證,也成為新的壓力來源。

以太坊基金會總結指出,過去防禦重心在「發現問題」,如今則轉向「驗證與判斷」。在 AI 大量參與程式分析的情況下,「人類最終決策」的重要性反而被進一步放大。*評論*:這也意味著未來安全團隊的核心競爭力,將更加偏向風險評估與決策,而非單純的程式錯誤搜尋。

就目前而言,對節點營運者及相關專案來說,應對措施相當明確:立即升級至 libp2p-gossipsub v0.49.4 或以上版本。新版在處理 PRUNE 訊息時,加入了對退避時間數值範圍的嚴格檢查,從根本上封鎖了造成溢位的攻擊路徑。這起 *以太坊(ETH)* 網路層漏洞事件,既是對現有基礎設施的一次壓力測試,也標誌著鏈上基礎建設安全,正透過 AI 與人類協作,邁入新的防禦階段。

<版權所有 ⓒ TokenPost,未經授權禁止轉載與散佈>

最受歡迎

其他相關文章

主打文章

瑞波幣(XRP)與SWIFT合作傳聞遭核心人士一句否認 未證實利多再掀加密市場炒作隱憂

SWIFT 推出區塊鏈共享帳本試點 以代幣化存款打造 24 小時跨境支付網路

羅賓漢鏈(Robinhood Chain)主網上線週內單日 DEX 交易量飆破 5.7 億美元,靠梗幣撐場能否從投機熱潮走向 DeFi 結構性轉折?

比特幣(BTC)陷高震盪調整期:技術指標示警最後一跌風險,熊市底部攻防進入關鍵三個月

留言 0

留言小技巧

好文章。 希望有後續報導。 分析得很棒。

0/1000

留言小技巧

好文章。 希望有後續報導。 分析得很棒。
1