Запланований апгрейд мережі Ethereum під назвою Constantinople був відкладений на невизначений час після знайденої критичної уразливості в одному з поліпшень протоколу, повідомляє CoinDesk.
Мова йде про уразливості в EIP-1283, яка, як виявила компанія з аудиту смарт-контрактів ChainSecurity, давала хакерам можливість викрасти кошти користувачів.
В ході відбулася у вівторок відеоконференції за участю ETH розробників та інших клієнтів і проектів, що працюють в мережі, було прийнято рішення тимчасово відкласти активацію хардфорка.
[SECURITY ALERT] #Constantinople upgrade is temporarily postponed out of caution following a consensus decision by #Ethereum developers, security professionals and other community members. More information and instructions below are. https://t.co/p2znO8HGxf
— Ethereum (@ethereum) 15 січня 2019 р.
Зокрема, у зустрічі взяли участь Віталік Бутерин, розробники Хадсон Джеймсон, Нік Джонсон і Еван ван Несс, а також реліз-менеджер Parity Афрі Шоедон. Обговорюючи виявлену уразливість, вони погодилися з тим, що усунути її до призначеного часу хардфорка (близько 04:00 UTC 17 січня), буде неможливо.
Вразливість, названа атакою повторного входу, дозволяє атакуючому множина раз увійти в одну і ту ж функцію і нескінченно виводити кошти.
«Уявіть, що мій контракт має функцію виклику іншого контракту. Якщо я хакер і можу запустити цю функцію у той час як попередня раніше виконується, я отримую можливість виведення коштів», — пояснив CTO аналітичної фірми CoinDesk Джоанес Еспаньол.
За його словами, це багато в чому нагадує уразливості, які влітку 2016 року були виявлена в The DAO.
Представники ChainSecurity також зазначили, що до хардфорка Constantinople операції зберігання даних в мережі коштували 5000 одиниць газу, що перевищує 2300 одиниць, зазвичай необхідні для виклику функцій «передачі» і «відправлення».
Після апгрейду «брудні» операції зберігання будуть коштувати 200 одиниць газу, і атакуючий контракт може використовувати 2300 одиниць газу, щоб успішно маніпулювати змінними вразливих контрактів.
Нова дата хардфорка поки не визначена.
Поділіться цим матеріалом у соціальних мережах і залиште свою думку у коментарях нижче.
Be First to Comment