Фото: digitaltrends.com
Долгожданное обновление Ethereum было отложено в очередной раз после обнаружения критической уязвимости в одном из запланированных изменений.
Во вторник фирма ChainSecurity, занимающаяся аудитом смарт-контрактов, сообщила, что предложение по улучшению Ethereum EIP 1283 в случае внедрения может открыть вектор атаки, позволяющий воровать средства пользователей. В ходе конференц-звонка разработчики протокола, клиентов и прочих проектов в экосистеме Ethereum договорились отложить активацию хард форка на время изучения проблемы. Новая дата обновления будет назначена в пятницу.
В обсуждении принимали участие основатель Ethereum Виталик Бутерин, разработчики Хадсон Джеймсон, Ник Джонсон, Афри Шедон и другие. Они пришли к заключению, что создание фикса потребует слишком много времени, поэтому его нецелесообразно было бы пытаться применить до 17 января, когда должно было произойти обновление.
Уязвимость связана с так называемой атакой повторного входа и позволяет злоумышленнику выполнять одну и ту же функцию несколько раз, не передавая информацию об этом пользователю и, таким образом, безгранично выводя активы с его кошелька.
"Представьте, что в моем контракте есть функция, вызывающая обращение к другому контракту. Если я являюсь злоумышленником и могу вызывать функцию, пока предыдущая функция продолжает выполняться, то могу выводить средства", – пояснил технический директор блокчейн-аналитической фирмы Amberdata Джоан Эспанол в разговоре с CoinDesk.
Похожая уязвимость была обнаружена в ходе печально известного взлома The DAO в 2016 году.
Как сообщила ChainSecurity в своем блоге, до хард форка Constantinople операции хранения в сети стоили 5 000 единиц газа, что превышает 2 300 единиц, обычно необходимых для вызова функций "передачи" и "отправки". В обновлённой же версии "грязные" операции хранения будут стоить 200 единиц газа. "Организатор атаки может использовать пособие в 2 300 единиц газа, чтобы успешно манипулировать переменными уязвимых контрактов", – добавила она.
Обновление Constantinople должно было состояться еще в прошлом году, но было отложено из-за проблем, обнаруженных при его активации в тестовой сети Ropsten.
Ранее мы писали, что Ethereum "породил" новую криптовалюту.
Напомним, в январе 2018 года курс Ethereum впервые в истории перешагнул отметку в 1000 долларов. После рекордов стоимость криптовалюты немного опустилась и сейчас Ethereum торгуется в районе 900-980 долларов за коин.