La mise à niveau de Constantinople d'Ethereum est retardée en raison d'une vulnérabilité de sécurité.

La mise à niveau tant attendue de Constantinople d'Ethereum vient d'être retardée après la découverte d'une vulnérabilité critique dans ONEun des changements prévus.

Cabinet d'audit de contrats intelligents ChainSecuritysignalé mardi La proposition d'amélioration Ethereum (EIP) 1283, si elle était mise en œuvre, pourrait offrir aux attaquants une faille dans le code pour voler les fonds des utilisateurs. Lors d'une conférence téléphonique, les développeurs Ethereum , ainsi que les développeurs de clients et d'autres projets exploitant le réseau, ont convenu de retarder le hard fork, au moins temporairement, le temps d'évaluer le problème.

Parmi les participants figuraient notamment le créateur Ethereum , Vitalik Buterin, les développeurs Hudson Jameson, Nick Johnson et Evan Van Ness, ainsi qu'Afri Schoedon, responsable des publications chez Parity. Une nouvelle date de fork sera fixée lors d'un autre appel aux développeurs Ethereum vendredi.

En discutant de la vulnérabilité en ligne, les CORE développeurs du projet sont arrivés à la conclusion qu'il faudrait trop de temps pour corriger le bug avant le hard fork, qui devait s'exécuter vers 04h00 UTC le 17 janvier.

Appelée attaque par réentrée, cette vulnérabilité permet à un attaquant de « réintégrer » la même fonction plusieurs fois sans informer l'utilisateur de l'état de la situation. Dans ce scénario, un attaquant pourrait « retirer des fonds définitivement », a déclaré Joanes Espanol, directeur technique de la société d'analyse blockchain Amberdata, lors d'un précédent entretien avec CoinDesk.

Il a expliqué :

« Imaginez que mon contrat contienne une fonction qui appelle un autre contrat… Si je suis un hacker et que je peux déclencher une fonction alors que la fonction précédente est encore en cours d'exécution, je pourrais peut-être retirer des fonds. »

C'est similaire

à l' une des vulnérabilités trouvées dans le désormais tristement célèbre Attaque DAO de 2016.

Le message de ChainSecurity expliquait qu'avant Constantinople, les opérations de stockage sur le réseau coûtaient 5 000 GAS, dépassant les 2 300 GAS habituellement envoyés lors de l'appel d'un contrat utilisant les fonctions « transfert » ou « envoi ».

Cependant, si la mise à niveau était mise en œuvre, les opérations de stockage « sales » coûteraient 200 GAS. Un « contrat attaquant pourrait utiliser les 2 300 GAS pour manipuler la variable du contrat vulnérable ».

Constantinople devait être activé l'année dernière, mais a été retardé après que des problèmes ont été découverts lors du lancement des mises à niveau sur leRéseau de test Ropsten.

Ethereumimage via Shutterstock