Хард форк Ethereum отложен из-за обнаруженной уязвимости

casio

Долгожданное обновление Ethereum было отложено в очередной раз после обнаружения критической уязвимости в одном из запланированных изменений.

Во вторник фирма ChainSecurity, занимающаяся аудитом смарт-контрактов, сообщила, что предложение по улучшению Ethereum EIP 1283 в случае внедрения может открыть вектор атаки, позволяющий воровать средства пользователей. В ходе конференц-звонка разработчики протокола, клиентов и прочих проектов в экосистеме Ethereum договорились отложить активацию хард форка на время изучения проблемы. Новая дата обновления будет назначена в пятницу.

В обсуждении принимали участие основатель Ethereum Виталик Бутерин, разработчики Хадсон Джеймсон, Ник Джонсон, Афри Шедон и другие. Они пришли к заключению, что создание фикса потребует слишком много времени, поэтому его нецелесообразно было бы пытаться применить до 17 января, когда должно было произойти обновление.

Уязвимость связана с так называемой атакой повторного входа и позволяет злоумышленнику выполнять одну и ту же функцию несколько раз, не передавая информацию об этом пользователю и, таким образом, безгранично выводя активы с его кошелька.

«Представьте, что в моём контракте есть функция, вызывающая обращение к другому контракту. Если я являюсь злоумышленником и могу вызывать функцию, пока предыдущая функция продолжает выполняться, то могу выводить средства», - пояснил технический директор блокчейн-аналитической фирмы Amberdata Джоан Эспанол в разговоре с CoinDesk.

Похожая уязвимость была обнаружена в ходе печально известного взлома The DAO в 2016 году.

Как сообщила ChainSecurity в своём блоге, до хард форка Constantinople операции хранения в сети стоили 5 000 единиц газа, что превышает 2 300 единиц, обычно необходимых для вызова функций «передачи» и «отправки». В обновлённой же версии «грязные» операции хранения будут стоить 200 единиц газа. «Организатор атаки может использовать пособие в 2 300 единиц газа, чтобы успешно манипулировать переменными уязвимых контрактов», - добавила она.

Обновление Constantinople должно было состояться ещё в прошлом году, но было отложено из-за проблем, обнаруженных при его активации в тестовой сети Ropsten.

garryncha

Ну я-бы сказал что это уже не воспринимается как нечто неожиданное. ))

casio

Участник @garryncha написал в Хард форк Ethereum отложен из-за обнаруженной уязвимости:

Ну я-бы сказал что это уже не воспринимается как нечто неожиданное. ))

Я лично это и ожидал.

garryncha

@casio У меня тоже особых надежд на успешный запуск этого хардфорка в январе не было.

casio

Участник @garryncha написал в Хард форк Ethereum отложен из-за обнаруженной уязвимости:

@casio У меня тоже особых надежд на успешный запуск этого хардфорка в январе не было.

ну тут очень страшный баг ... думаю раньше марта они его не обойдут.

Ivan Ivanov

@casio так тут отложили форк из-за того, что есть реальная проблема, а не из-за того, что они пьянствовали и ничего не делали.

casio

Участник @ivan-ivanov написал в Хард форк Ethereum отложен из-за обнаруженной уязвимости:

@casio так тут отложили форк из-за того, что есть реальная проблема, а не из-за того, что они пьянствовали и ничего не делали.

Вопрос почему раньше это все не проверили ?

Ivan Ivanov

@casio проблемы возникают по ходу тестирования ПО, а как же иначе. заранее трудно предусмотреть баги.

casio

Участник @ivan-ivanov написал в Хард форк Ethereum отложен из-за обнаруженной уязвимости:

@casio проблемы возникают по ходу тестирования ПО, а как же иначе. заранее трудно предусмотреть баги.

ну этот форк они там уже полгода если не больше теребили... странно что только сейчас софт проверили.

Ivan Ivanov

@casio странные рассуждения. вы бы предпочли, чтобы они в угоду срокам просто выпустили обновление с ошибками?

garryncha

@ivan-ivanov Ну, как мне кажется, проблемы безопасности должны решаться в первую очередь.

CryptoMax

И как это до сих пор никто не обнаружил сей баг и не воспользовался им для личного обогащения?

casio

Участник @ivan-ivanov написал в Хард форк Ethereum отложен из-за обнаруженной уязвимости:

@casio странные рассуждения. вы бы предпочли, чтобы они в угоду срокам просто выпустили обновление с ошибками?

я к тому что это все можно было давно найти...

Ivan Ivanov

@cryptomax не нашли, потому что еще не выпускали это обновление. так сказать, сыграли на опережение и разработчики нашли баг самостоятельно.

casio

Участник @ivan-ivanov написал в Хард форк Ethereum отложен из-за обнаруженной уязвимости:

@cryptomax не нашли, потому что еще не выпускали это обновление. так сказать, сыграли на опережение и разработчики нашли баг самостоятельно.

да как то обновление уже давно физически было на руках. просто не смотрели его ...

Ivan Ivanov

@casio откуда вы знаете, что не смотрели? или поиск багов это так просто?

casio

Участник @ivan-ivanov написал в Хард форк Ethereum отложен из-за обнаруженной уязвимости:

@casio откуда вы знаете, что не смотрели? или поиск багов это так просто?

ну баг нашли быстро ... и он думаю на поверхности был. Просто как то руки не доходили посмотреть все.

Ivan Ivanov

@casio ну да, толпа профи и не могли баг на поверхности обнаружить. это же не школьники сопливые.

casio

Участник @ivan-ivanov написал в Хард форк Ethereum отложен из-за обнаруженной уязвимости:

@casio ну да, толпа профи и не могли баг на поверхности обнаружить. это же не школьники сопливые.

ну все вопросы к ним... кстати какие то чудики побежали впереди паровоза , обновили свои майнинг устройства.

Ivan Ivanov

@casio да, читал об этом. странно, что такие вроде бы опытные люди, а совершают такие ошибки.