Хард форк Ethereum отложен из-за обнаруженной уязвимости

Долгожданное обновление Ethereum было отложено в очередной раз после обнаружения критической уязвимости в одном из запланированных изменений.

Во вторник фирма ChainSecurity, занимающаяся аудитом смарт-контрактов, сообщила, что предложение по улучшению Ethereum EIP 1283 в случае внедрения может открыть вектор атаки, позволяющий воровать средства пользователей. В ходе конференц-звонка разработчики протокола, клиентов и прочих проектов в экосистеме Ethereum договорились отложить активацию хард форка на время изучения проблемы. Новая дата обновления будет назначена в пятницу.

В обсуждении принимали участие основатель Ethereum Виталик Бутерин, разработчики Хадсон Джеймсон, Ник Джонсон, Афри Шедон и другие. Они пришли к заключению, что создание фикса потребует слишком много времени, поэтому его нецелесообразно было бы пытаться применить до 17 января, когда должно было произойти обновление.

Уязвимость связана с так называемой атакой повторного входа и позволяет злоумышленнику выполнять одну и ту же функцию несколько раз, не передавая информацию об этом пользователю и, таким образом, безгранично выводя активы с его кошелька.

«Представьте, что в моём контракте есть функция, вызывающая обращение к другому контракту. Если я являюсь злоумышленником и могу вызывать функцию, пока предыдущая функция продолжает выполняться, то могу выводить средства», - пояснил технический директор блокчейн-аналитической фирмы Amberdata Джоан Эспанол в разговоре с CoinDesk.

Похожая уязвимость была обнаружена в ходе печально известного взлома The DAO в 2016 году.

Как сообщила ChainSecurity в своём блоге, до хард форка Constantinople операции хранения в сети стоили 5 000 единиц газа, что превышает 2 300 единиц, обычно необходимых для вызова функций «передачи» и «отправки». В обновлённой же версии «грязные» операции хранения будут стоить 200 единиц газа. «Организатор атаки может использовать пособие в 2 300 единиц газа, чтобы успешно манипулировать переменными уязвимых контрактов», - добавила она.

Обновление Constantinople должно было состояться ещё в прошлом году, но было отложено из-за проблем, обнаруженных при его активации в тестовой сети Ropsten.
Фото: mk1one
Комментарии 5
Вы должны войти на сайт, чтобы разместить свой комментарий.
  • Carlos Matos
  • VeberRS5
  • Ilya
  • Carlos Matos
  • VeberRS5