Хард форк Ethereum відкладений через виявлену уразливість

Довгоочікуване оновлення Ethereum було відкладено в черговий раз після виявлення критичної уразливості в одному із запланованих змін.

У вівторок фірма ChainSecurity, що займається аудитом смарт-контрактів, повідомила, що пропозиція щодо поліпшення Ethereum EIP 1 283 в разі впровадження може відкрити вектор атаки, що дозволяє красти кошти користувачів. В ході телефонної конференції розробники протоколу, клієнтів та інших проектів в екосистемі Ethereum домовилися відкласти активацію хард ФОРКОМ на час вивчення проблеми. Нова дата поновлення буде призначена в п’ятницю.

В обговоренні брали участь засновник Ethereum Віталік Бутерін, розробники Хадсон Джеймсон, Нік Джонсон, афри Шедон і інші. Вони прийшли до висновку, що створення фікса зажадає занадто багато часу, тому його недоцільно було б намагатися застосувати до 17 січня, коли мало відбутися оновлення.

Уразливість пов’язана з так званої атакою повторного входу і дозволяє зловмиснику виконувати одну і ту ж функцію кілька разів, не передаючи інформацію про це користувачеві і, таким чином, безмежно виводячи активи з його гаманця.

«Уявіть, що в моєму контракті є функція, що викликає звернення до іншого контракту. Якщо я є зловмисником і можу викликати функцію, поки попередня операція продовжують виконуватися, то можу виводити кошти », – пояснив технічний директор блокчейн-аналітичної фірми Amberdata Джоан Еспанол

Схожа вразливість була виявлена ​​в ході сумнозвісної злому The DAO в 2016 році.

Як повідомила ChainSecurity в своєму блозі, до хард ФОРКОМ Constantinople операції зберігання в мережі коштували 5 000 одиниць газу, що перевищує 2 300 одиниць, звичайно необхідних для виконання функцій «передачі» і «відправки». В оновленій ж версії «брудні» операції зберігання коштуватимуть 200 одиниць газу. «Організатор атаки може використовувати посібник в 2 300 одиниць газу, щоб успішно маніпулювати змінними вразливих контрактів», – додала вона.

Оновлення Constantinople мало відбутися ще в минулому році, але було відкладено через проблеми, виявлених при його активації в тестовій мережі Ropsten.

Джерело: CoinDesk

- Advertisement -

Залишити відповідь

Ваша електронна адреса не буде опублікована.