Ang Pag-upgrade ng Ethereum sa Constantinople ay Nahaharap sa Pagkaantala Dahil sa Kahinaan sa Seguridad

Ang matagal nang inaasam na pag-upgrade ng Ethereum sa Constantinople ay naantala lamang matapos ang isang kritikal na kahinaan ay natuklasan sa ONE sa mga binalak na pagbabago.

Smart contract audit firm na ChainSecurity na-flag noong Martes na ang Ethereum Improvement Proposal (EIP) 1283, kung ipinatupad, ay maaaring magbigay sa mga attacker ng butas sa code upang magnakaw ng mga pondo ng user. Sa pagsasalita sa isang tawag, sumang-ayon ang mga developer ng Ethereum , pati na rin ang mga developer ng mga kliyente at iba pang proyektong nagpapatakbo sa network, na iantala ang hard fork – kahit pansamantala lang – habang tinatasa nila ang isyu.

Kasama sa mga kalahok ang tagalikha ng Ethereum na si Vitalik Buterin, mga developer na sina Hudson Jameson, Nick Johnson at Evan Van Ness, at tagapamahala ng paglabas ng Parity na si Afri Schoedon, bukod sa iba pa. Isang bagong fork date ang pagpapasya sa isa pang Ethereum dev call sa Biyernes.

Tinatalakay ang kahinaan sa online, ang mga CORE developer ng proyekto ay umabot sa konklusyon na ito ay magtatagal upang ayusin ang bug bago ang matigas na tinidor, na inaasahang maisakatuparan sa paligid. 04:00 UTC noong Enero 17.

Tinatawag na reentrancy attack, ang vulnerability ay nagbibigay-daan sa isang attacker na "muling ipasok" ang parehong function nang maraming beses nang hindi ina-update ang user tungkol sa estado ng mga gawain. Sa ilalim ng sitwasyong ito, ang isang attacker ay maaaring maging "mag-withdraw ng mga pondo magpakailanman," sabi ni Joanes Espanol, CTO ng blockchain analytics firm na Amberdata sa isang nakaraang panayam sa CoinDesk.

Ipinaliwanag niya:

"Isipin na ang aking kontrata ay may function na tumatawag sa isa pang kontrata... Kung ako ay isang hacker at nagagawa kong mag-trigger ng function habang ang nakaraang function ay gumagana pa, maaari akong mag-withdraw ng mga pondo."

Ito ay katulad

sa ONE sa mga kahinaan na natagpuan sa ngayon-kasumpa-sumpa Pag-atake ng DAO noong 2016.

Ipinaliwanag ng post ng ChainSecurity na bago ang Constantinople, ang mga pagpapatakbo ng imbakan sa network ay nagkakahalaga ng 5,000 GAS, lampas sa 2,300 GAS na karaniwang ipinapadala kapag tumatawag sa isang kontrata gamit ang mga function na "transfer" o "send".

Gayunpaman, kung ang pag-upgrade ay ipinatupad, ang "marumi" na mga operasyon sa imbakan ay nagkakahalaga ng 200 GAS. Maaaring gamitin ng isang "kontrata ng attacker ang 2300 GAS stipend upang matagumpay na manipulahin ang variable ng mahinang kontrata."

Ang Constantinople ay dati nang inaasahang mag-activate noong nakaraang taon, ngunit naantala pagkatapos na matagpuan ang mga isyu habang inilulunsad ang mga pag-upgrade sa Ropsten testnet.

Ethereum larawan sa pamamagitan ng Shutterstock