Actualización de Ethereum Constantinopla retrasada.
La actualización de Ethereum Constantinopla se ha pospuesto debido a posibles problemas en EIP 1283 descubiertos por ChainSecurity, una empresa de investigación de auditoría de contratos inteligentes.
Como se destacó en el anuncio de la Fundación Ethereum, EIP-1283 introduce costos de gas más baratos para las operaciones de SSTORE, pero algunos contratos inteligentes (que ya forman parte de la cadena) pueden utilizar patrones de código que los harían vulnerables a un ataque de reentrada después de que se llevara a cabo la actualización de Constantinopla. Estos contratos inteligentes no habrían sido vulnerables antes de la actualización de Constantinopla.
Un vector de ataque inesperado
Este código es vulnerable de una manera inesperada. El código simula un servicio seguro de reparto de tesorería, donde dos partes pueden recibir fondos conjuntamente, decidir cómo dividirlos y recibir un pago si están de acuerdo. Mediante el uso de cierta funcionalidad, un atacante podría vaciar dicho contrato inteligente utilizando una función de reserva para seguir desviando fondos a la dirección del atacante hasta que el contrato esté vacío.
ChainSecurity subrayó lo dañino que podría ser este error:
“En resumen, el atacante acaba de robar el Ether de otras personas del contrato PaymentSharer y puede seguir haciéndolo”.
El nuevo vector de ataque solo es posible, ya que EIP 1283 introduce tarifas reducidas de gas para ciertas operaciones de almacenamiento, lo que significa que un atacante podría tener el incentivo económico adecuado para actuar malintencionado.
¿Qué pasa ahora?
Después de recibir el análisis y discutir los hallazgos internamente, los miembros principales de la Fundación Ethereum se reunieron a través de una videollamada y decidieron posponer Constantinopla, de acuerdo con una publicación en el blog de la Fundación Ethereum.
Dado que existían ciertos riesgos conocidos y que no había tiempo suficiente para analizar con seguridad todas las amenazas, se tomó la decisión de posponer la bifurcación por una gran cautela.
Las partes que participaron en los debates fueron las siguientes:
Investigadores de seguridad
Partes interesadas de Ethereum
Desarrolladores de clientes de Ethereum
Propietarios y desarrolladores de contratos inteligentes
Proveedores de billeteras
Operadores de nodos
Desarrolladores de DApp
Medios de comunicación
En el momento de redactarse el presente informe, no se ha fijado una fecha revisada para que se lleve a cabo la mejora de Constantinopla.
Esperemos que el equipo de desarrolladores de Ethereum pueda desactivar la situación y seguir adelante con la hoja de ruta, que ya se ha retrasado varias veces.
Disclaimer: The views and opinions expressed by the author should not be considered as financial advice. We do not give advice on financial products.