Ethereum Konstantinopel Upgrade verzögert.
Das Ethereum Constantinopel Update wurde aufgrund möglicher Probleme in EIP 1283 verschoben, die von ChainSecurity, einem intelligenten Contract Auditing Research Unternehmen, entdeckt wurden.
Wie in der Ankündigung der Ethereum Foundation hervorgehoben, führt EIP-1283 billigere Gaskosten für SSTORE-Operationen ein, aber einige intelligente Verträge (die bereits Teil der Kette sind) können Codemuster verwenden, die sie anfällig für einen Wiedereintrittsangriff machen würden, nachdem das Upgrade von Konstantinopel stattgefunden hat. Diese intelligenten Verträge wären vor dem Upgrade von Konstantinopel nicht anfällig gewesen.
Ein unerwarteter Angriffsvektor
Dieser Code ist auf unerwartete Weise anfällig. Der Code simuliert einen sicheren Treasury Sharing Service, bei dem zwei Parteien gemeinsam Gelder erhalten, entscheiden, wie sie aufgeteilt werden, und erhalten eine Auszahlung, wenn sie zustimmen. Durch die Verwendung bestimmter Funktionen kann ein Angreifer einen solchen Smart-Vertrag leeren, indem er eine Fallback-Funktion verwendet, um Geld an die Adresse des Angreifers zu senden, bis der Vertrag leer ist.
ChainSecurity unterstrich, wie schädlich dieser Fehler sein könnte:
„Kurz gesagt, der Angreifer hat den Ether anderer Leute aus dem PaymentSharer-Vertrag gestohlen und kann dies auch weiterhin tun.“
Der neue Angriffsvektor ist nur möglich, da EIP 1283 reduzierte Gasgebühren für bestimmte Speichervorgänge einführt, was bedeutet, dass ein Angreifer den richtigen wirtschaftlichen Anreiz haben könnte, bösartig zu handeln.
Was passiert jetzt?
Nachdem sie die Analyse erhalten und die Ergebnisse intern besprochen hatten, trafen sich Kernmitglieder der Ethereum Foundation durch einen Videoanruf und beschlossen, Konstantinopel zu verschieben, so ein Blogbeitrag der Ethereum Foundation.
Da es bestimmte bekannte Risiken gab und nicht genügend Zeit gab, um alle Bedrohungen sicher zu analysieren, wurde eine Entscheidung getroffen, die Gabel aus einer Fülle von Vorsicht zu verschieben.
Die an den Diskussionen beteiligten Parteien umfassten:
Sicherheitsforscher
Ethereum Stakeholder
Ethereum Client-Entwickler
Intelligente Vertragsinhaber / -entwickler
Wallet-Anbieter
Knotenoperatoren
DApp-Entwickler
Medien
Zum Zeitpunkt des Schreibens wurde kein aktualisiertes Datum für das Upgrade von Konstantinopel festgelegt.
Hoffen wir, dass das Ethereum-Entwicklerteam die Situation entschärfen und die Roadmap weitermachen kann, die sich bereits mehrfach verzögert hat.
Disclaimer: The views and opinions expressed by the author should not be considered as financial advice. We do not give advice on financial products.