Хард-форк Ethereum Constantinople отложен из-за уязвимости безопасности

Долгожданное обновление хард-форка Ethereum «Constantinople» было отложено после того, как была обнаружена уязвимость безопасности во время одного из запланированных изменений в платформе.

ChainSecurity, фирма по аудиту смарт-контрактов, была ответственна за обнаружение того, что предложение Ethereum Improvement Proposal  (EIP) 1283 может дать хакерам лазейку в коде, что позволит им воровать средства в случае реализации. Во время телефонной конференции между разработчиками ETH, клиентскими разработчиками, а также другими руководителями проектов, управляющими сетью, было решено отложить ожидаемый хард-форк, по крайней мере, на данный момент, пока проблема оценивается и решается.

В числе участников конференции были: основатель Ethereum Виталик Бутерин, менеджер релиза Parity Афри Шоедон, разработчики Эван Ван Несс, Ник Джонсон, Хадсон Джеймсон и многие другие. Новая дата хард-форка будет определена во время очередного ETH-звонка.

В ходе обсуждения между разработчиками основные разработчики из Constantinople пришли к выводу, что исправление ошибки будет слишком длительным процессом до первоначальной даты хард-форка, которая должна была состояться в 04:00 UTC 17 января, 00:00 UTC, 17 января.

Так какая же была найденная уязвимость? Это называется повторной атакой, которая, в двух словах, позволяет злоумышленникам «повторно» вводить определенную функцию несколько раз, не обновляя пользователя. Во время этой атаки хакер мог легко «вывести средства навсегда», — сказал технический директор Amberdata Джоанес Эспанол в интервью.

Эспанол объяснил:

«Представьте, что в моем контракте есть функция, которая выполняет вызов другого контракта… Если я бы я был хакером и мог активировать функцию какое-то время, пока предыдущая функция еще выполнялась — я мог бы снять средства».

Эта атака имеет поразительное сходство с одной из уязвимостей, обнаруженных в печально известной атаке DAO 2016 года.

В отчете ChainSecurity поясняется, что до прибытия Constantinople, операции по хранению в сети ETH будут стоить 5000 газов, что превышает 2300 газов, которые обычно требуются при вызове контрактов с использованием функций передачи или отправки.

Вот где сеть была бы уязвима. Если бы модернизация была осуществлена, «грязные» операции по хранению стоили бы только 200 газов. Это означает, что «контракт злоумышленника может использовать 2300 газовой стипендии для успешного управления переменной уязвимого контракта».

Надеемся, что это будет последним из бед, с которыми столкнулась сеть ETH в отношении предстоящего хард-форка Constantinople. Время покажет.

А что вы думаете о предстоящем обновлении?

Перевод материала: https://coinbeat.com/ethereum-constantinople-hard-fork-delayed-due-to-security-vulnerability/

Поделиться новостью