Ethereum Constantinople mise à jour retardée.
La mise à jour d'Ethereum Constantinople a été reportée en raison d'éventuels problèmes dans EIP 1283 découverts par ChainSecurity, une société de recherche intelligente sur l'audit des contrats.
Comme l'a souligné l'annonce de la Fondation Ethereum, EIP-1283 introduit des coûts de gaz moins chers pour les opérations de SSORE, mais certains contrats intelligents (qui font déjà partie de la chaîne) peuvent utiliser des modèles de code qui les rendraient vulnérables à une attaque de rentrée après la mise à niveau de Constantinople. Ces contrats intelligents n'auraient pas été vulnérables avant la mise à niveau de Constantinople.
Un vecteur d'attaque inattendu
Ce code est vulnérable d'une manière inattendue. Le code simule un service sécurisé de partage de trésorerie, où deux parties peuvent recevoir conjointement des fonds, décider de la façon de les diviser et recevoir un paiement si elles sont d'accord. En utilisant certaines fonctionnalités, un attaquant pourrait vider un contrat aussi intelligent en utilisant une fonction de secours pour garder siphonner des fonds à l'adresse de l'attaquant jusqu'à ce que le contrat soit vide.
ChainSecurity a souligné à quel point ce bug pourrait être dommageable :
« En bref, l'attaquant vient de voler l'éther d'autres personnes du contrat PaymentSharer et peut continuer à le faire. »
Le nouveau vecteur d'attaque n'est possible que puisque l'EIP 1283 introduit des frais d'essence réduits pour certaines opérations de stockage, ce qui signifie qu'un attaquant pourrait avoir la bonne incitation économique à agir malveillant.
Que se passe-t-il maintenant ?
Après avoir reçu l'analyse et discuté des résultats en interne, les membres de base de la Fondation Ethereum se sont rencontrés à travers un appel vidéo et ont décidé de reporter Constantinople, selon un billet de blog de la Fondation Ethereum.
Étant donné que certains risques étaient connus et qu'il n'y avait pas assez de temps pour analyser en toute sécurité toutes les menaces, on a décidé de reporter la fourche par trop de prudence.
Les parties impliquées dans les discussions comprenaient :
Chercheurs en sécurité
Intervenants Ethereum
Développeurs clients Ethereum
Propriétaires/développeurs de contrats intelligents
Fournisseurs de portefeuille
Opérateurs de nœuds
Développeurs DApp
Médias
Au moment de la rédaction du présent rapport, aucune date révisée n'a été fixée pour la mise à niveau de Constantinople.
Espérons que l'équipe de développement Ethereum puisse désamorcer la situation et se remettre à la feuille de route, qui a déjà été retardée plusieurs fois.
Disclaimer: The views and opinions expressed by the author should not be considered as financial advice. We do not give advice on financial products.