Atualização de Ethereum Constantinopla atrasada.
A atualização Ethereum Constantinopla foi adiada devido a possíveis problemas no EIP 1283 descoberto pela ChainSecurity, uma empresa de pesquisa de auditoria de contrato inteligente.
Como destacado no anúncio da Fundação Ethereum, o EIP-1283 introduz custos de gás mais baratos para operações da SSTORE, mas alguns contratos inteligentes (que já fazem parte da cadeia) podem utilizar padrões de código que os tornariam vulneráveis a um ataque de reentrada após a atualização de Constantinopla ter ocorrido. Estes contratos inteligentes não teriam sido vulneráveis antes da atualização de Constantinopla.
Um vetor de ataque inesperado
Este código é vulnerável de uma forma inesperada. O código simula um serviço seguro de compartilhamento de tesouraria, onde duas partes podem receber fundos em conjunto, decidir sobre como dividi-los e receber um pagamento se concordarem. Usando determinada funcionalidade, um invasor pode esvaziar um contrato inteligente usando uma função de contingência para manter o desvio de fundos para o endereço do invasor até que o contrato esteja vazio.
ChainSecurity sublinhou o quão prejudicial este bug pode ser:
“Em suma, o atacante roubou o Ether de outras pessoas do contrato PaymentSharer e pode continuar a fazê-lo.”
O novo vetor de ataque só é possível quando o EIP 1283 introduz taxas reduzidas de gás para determinadas operações de armazenamento, o que significa que um atacante pode ter o incentivo econômico certo para agir malicioso.
O que acontece agora?
Depois de receber a análise e discutir as descobertas internamente, os membros do núcleo da Fundação Ethereum se reuniram através de uma chamada de vídeo e decidiram adiar Constantinopla, de acordo com um post no blog da Fundação Ethereum.
Dado que existiam certos riscos conhecidos e que não havia tempo suficiente para analisar com segurança todas as ameaças, foi tomada uma decisão de adiar a bifurcação por uma abundância de cautela.
As partes envolvidas nos debates incluíram:
Pesquisadores de segurança
Partes interessadas do Ethereum
Desenvolvedores de cliente Ethereum
Proprietários/desenvolvedores de contratos inteligentes
Provedores de carteira
Operadores de nó
Desenvolvedores dApp
Mídia
No momento da redação, nenhuma data revisada foi definida para a atualização de Constantinopla ocorrer.
Vamos esperar que a equipe de desenvolvedores do Ethereum possa desarmar a situação e seguir com o roteiro, que já foi adiado várias vezes.
Disclaimer: The views and opinions expressed by the author should not be considered as financial advice. We do not give advice on financial products.