Обновление Ethereum Константинополь отложено.
Обновление Ethereum Constantinople было отложено из-за возможных проблем в EIP 1283, обнаруженных ChainSecurity, исследовательской компанией по аудиту смарт-контрактов.
Как подчеркивается в объявлении Ethereum Foundation, EIP-1283 вводит более дешевые затраты на газ для операций SSTORE, но некоторые смарт-контракты (которые уже являются частью цепочки) могут использовать паттерны кода, которые сделают их уязвимыми для повторной атаки после обновления Константинополя. Эти умные контракты не были бы уязвимы до обновления Константинополя.
Неожиданный вектор атаки
Этот код уязвим неожиданным образом. Код имитирует безопасную службу совместного использования казначейских средств, в рамках которой две стороны могут совместно получать средства, решать, как их разделить, и получать выплату, если они согласны. Используя определенную функциональность, злоумышленник может опорожнить такой смарт-контракт, используя функцию резервного копирования, чтобы продолжать отбрасывать средства на адрес злоумышленника до тех пор, пока контракт не будет пустым.
ChainSecurity подчеркнул, насколько вредной может быть эта ошибка:
“Короче говоря, злоумышленник просто украл эфир других людей из контракта PaymentSharer и может продолжать делать это”.
Новый вектор атаки возможен только в связи с тем, что EIP 1283 вводит снижение платы за газ для определенных операций хранения, что означает, что злоумышленник может иметь правильный экономический стимул для злонамеренных действий.
Что теперь происходит?
После получения анализа и обсуждения выводов внутри страны, основные члены Ethereum Foundation встретились через видеозвонок и решили отложить Константинополь, согласно сообщению блога Ethereum Foundation.
Поскольку существовали определенные известные риски и не было достаточно времени для безопасного анализа всех угроз, было принято решение отложить форк из обилия осторожности.
В обсуждениях приняли участие следующие стороны:
Исследователи по вопросам безопасности
Заинтересованные стороны Эфириума
Разработчики клиентов Ethereum
Владельцы смарт-контрактов / разработчики
Поставщики кошелька
Операторы узлов
Разработчики dApp
Средства массовой информации
На момент подготовки настоящего доклада не было установлено никаких пересмотренных сроков проведения модернизации Константинополя.
Будем надеяться, что команда разработчиков Ethereum сможет разрядить ситуацию и приступить к дорожной карте, которая уже задерживалась несколько раз.
Disclaimer: The views and opinions expressed by the author should not be considered as financial advice. We do not give advice on financial products.