エテリアムコンスタンティノープルのアップグレードが遅れます。
エテリアムコンスタンティノープルの更新は、スマートな契約監査研究会社 ChainSecurityによって発見されたEIP 1283の問題のために延期されました。
Ethereum Foundationの発表で強調されているように、EIP-1283はSSTORE 操作のための安価なガスコストを導入しますが、いくつかのスマートな契約(すでにチェーンの一部である)は、コンスタンティノープルのアップグレードが行われた後に再入場攻撃に対して脆弱になるコードパターンを利用する可能性があります。 これらのスマートな契約は、コンスタンティノープルのアップグレード前に脆弱ではありませんでした。
予期しない攻撃ベクトル
このコードは予期せぬ方法で脆弱です。 このコードは、安全な財務共有サービスをシミュレートし、両当事者が共同で資金を受け取り、それらを分割する方法を決定し、同意する場合は支払いを受け取ることができます。 攻撃者は、特定の機能を使用することにより、フォールバック関数を使用して、コントラクトが空になるまで攻撃者のアドレスに資金を投入し続けることにより、このようなスマートコントラクトを空にすることができます。
ChainSecurityは、このバグがどれほど損害を与えるかを強調しました。
「要するに、攻撃者はPaymentSharer 契約から他の人のエーテルを盗んだだけで、引き続きそれを行うことができます。」
新しい攻撃方法は、EIP 1283 が特定の保管操作に対してガス料金の削減を導入する場合にのみ可能です。つまり、攻撃者は悪意のある行動に対する適切な経済的インセンティブを持つ可能性があります。
どうなるの?
分析を受け、内部的に調査結果を議論した後、Ethereum Foundationのコアメンバーはビデオ通話を通じて会い、Ethereum Foundationのブログ記事によると、コンスタンティノープルを延期することに決めました。
既知のリスクがあり、すべての脅威を安全に分析するのに十分な時間がないので、フォークを豊富な注意から延期するという決定に達しました。
ディスカッションに関わる当事者は次のとおりです。
セキュリティ研究者
エテリアムの利害関係者
エテリアム・クライアント
スマート契約の所有者/開発者
ウォレットプロバイダ
ノード演算子
デベロッパー
メディア・メディア
執筆時点では、コンスタンティノープルのアップグレードが行われるための改訂日は設定されていません。
Ethereum 開発者チームが状況を打開し、すでに数回遅れているロードマップを使用できることを願っています。
Disclaimer: The views and opinions expressed by the author should not be considered as financial advice. We do not give advice on financial products.