Ethereum Costantinopoli aggiornamento ritardato.
L'aggiornamento di Ethereum Constantinople è stato posticipato a causa di possibili problemi in EIP 1283 scoperto da ChainSecurity, una società di ricerca di audit smart contract.
Come evidenziato nell'annuncio della Fondazione Ethereum, l'EIP-1283 introduce costi di gas più economici per le operazioni SSTORE, ma alcuni contratti intelligenti (che fanno già parte della catena) potrebbero utilizzare modelli di codice che li renderebbero vulnerabili a un attacco di rientrancy dopo l'aggiornamento di Costantinopoli. Questi contratti intelligenti non sarebbero stati vulnerabili prima dell'aggiornamento di Costantinopoli.
Un vettore di attacco inaspettato
Questo codice è vulnerabile in modo inaspettato. Il codice simula un servizio sicuro di condivisione del tesoro, in cui due parti possono ricevere fondi congiuntamente, decidere come dividerli e ricevere un pagamento se sono d'accordo. Utilizzando determinate funzionalità, un utente malintenzionato potrebbe svuotare un contratto intelligente di questo tipo utilizzando una funzione di fallback per mantenere il sifone dei fondi all'indirizzo dell'utente malintenzionato fino a quando il contratto non è vuoto.
ChainSecurity ha sottolineato quanto potrebbe essere dannoso questo bug:
“In breve, l'attaccante ha appena rubato Ether di altre persone dal contratto PaymentSharer e può continuare a farlo.”
Il nuovo vettore di attacco è possibile solo in quanto EIP 1283 introduce tariffe ridotte per il gas per alcune operazioni di stoccaggio, il che significa che un utente malintenzionato potrebbe avere il giusto incentivo economico per agire malevolo.
Che succede adesso?
Dopo aver ricevuto l'analisi e discusso internamente i risultati, i membri della Fondazione Ethereum si sono incontrati attraverso una videochiamata e hanno deciso di posticipare Costantinopoli, secondo un post del blog della Fondazione Ethereum.
Poiché vi erano alcuni rischi noti e poco tempo per analizzare in modo sicuro tutte le minacce, si è deciso di rinviare il bivio con molta cautela.
Le parti coinvolte nelle discussioni hanno incluso:
Ricercatori di sicurezza
Interessatori di Ethereum
Sviluppatori client Ethereum
Proprietari/sviluppatori di contratti intelligenti
Fornitori di portafogli
Operatori di nodi
Sviluppatori dApp
Media
Al momento della stesura, non è stata fissata alcuna data riveduta per l'aggiornamento di Costantinopoli.
Speriamo che il team di sviluppatori di Ethereum possa disinnescare la situazione e andare avanti con la roadmap, che è già stata ritardata un certo numero di volte.
Disclaimer: The views and opinions expressed by the author should not be considered as financial advice. We do not give advice on financial products.