Обновление Ethereum Constantinople задерживается из-за уязвимости безопасности

Долгожданное обновление Ethereum Constantinople было отложено после того, как в ONE из запланированных изменений была обнаружена критическая уязвимость.

Компания по аудиту смарт-контрактов ChainSecurityотмечено во вторник что Ethereum Improvement Proposal (EIP) 1283, если будет реализован, может предоставить злоумышленникам лазейку в коде для кражи средств пользователей. В ходе телефонного разговора разработчики Ethereum , а также разработчики клиентов и других проектов, работающих в сети, согласились отложить хард-форк — по крайней мере временно — пока они оценивают проблему.

Среди участников были создатель Ethereum Виталик Бутерин, разработчики Хадсон Джеймсон, Ник Джонсон и Эван Ван Несс, а также менеджер по релизу Parity Афри Шоедон и другие. Новая дата форка будет определена во время другого звонка разработчиков Ethereum в пятницу.

Обсуждая уязвимость в сети, CORE разработчики проекта пришли к выводу, что исправление ошибки до хардфорка, который, как ожидалось, должен был состояться около 04:00 UTC 17 января.

Названная атакой повторного входа, уязвимость по сути позволяет злоумышленнику «повторно входить» в одну и ту же функцию несколько раз, не информируя пользователя о состоянии дел. В этом сценарии злоумышленник может по сути «снимать средства вечно», сказал Джоанес Эспаньол, технический директор аналитической компании Amberdata, занимающейся блокчейном, в предыдущем интервью CoinDesk.

Он объяснил:

«Представьте, что в моем контракте есть функция, которая делает вызов другого контракта... Если я хакер и смогу вызвать функцию, пока предыдущая функция все еще выполняется, я смогу вывести средства».

Это похоже

к ONE из уязвимостей, обнаруженных в ныне печально известном Атака DAO 2016 года.

В сообщении ChainSecurity поясняется, что до Constantinople стоимость операций по хранению в сети составляла 5000 единиц GAS, что превышает 2300 единиц GAS , которые обычно отправляются при вызове контракта с использованием функций «передача» или «отправка».

Однако, если бы обновление было реализовано, «грязные» операции по хранению обошлись бы в 200 GAS. «Контракт злоумышленника может использовать стипендию в размере 2300 GAS для успешного манипулирования переменной уязвимого контракта».

Ранее ожидалось, что Constantinople будет активирован в прошлом году, но его активация была отложена из-за проблем, обнаруженных при запуске обновлений наТестовая сеть Ropsten.

Ethereumизображение через Shutterstock