Los clientes de Ethereum lanzan un nuevo software tras el retraso de la bifurcación dura

Los principales clientes de Ethereum , incluidos Go-Ethereum (Geth) y Parity, han lanzado actualizaciones de software luego de una decisión anterior de retrasar la actualización planificada para todo el sistema denominada Constantinople.

La actualización fuepospuesto el martes Durante una llamada a desarrolladores, esta medida se tomó después de que la firma de auditoría de blockchain, Chain Security, descubriera una vulnerabilidad de seguridad en la Propuesta de Mejora de Ethereum (EIP) 1283, ONE de los cambios planificados en Constantinople. De haber sido explotada, la vulnerabilidad habría permitido ataques de reentrada, lo que habría permitido a actores maliciosos retirar fondos de la misma fuente varias veces.

El nuevo bloque de activación para la actualización se decidirá durante otra convocatoria a finales de esta semana.

Para evitar que se produjera la bifurcación (dado que algunos de los clientes de software en la red ya se habían actualizado antes de la bifurcación), los desarrolladores de las principales implementaciones de Ethereum se movieron para publicar nuevas versiones.

Geth lanzó una revisión de emergencia (versión 1.8.21) diseñada para retrasar la actualización, aunque el desarrollador Péter Szilágyi señaló que los usuarios que no deseen actualizar a la nueva versión del cliente también pueden degradar sus clientes existentes a la versión 1.8.19 o continuar ejecutando la versión actual (1.8.20) con una anulación.

De manera similar, los clientes de Parity pueden actualizar sus clientes existentes a la versión 2.2.7 (la versión estable) o 2.3.0 (una versión beta) o, de lo contrario, degradarlos a la versión 2.2.4 (beta).

El jefe de seguridad de Parity Technologies, Kirill Pimenov, hablando en unaChat de desarrolladores de Ethereum COREEn Gitter, dijo que recomendaba a los usuarios actualizar a la nueva versión, en lugar de degradar a una versión anterior, y explicó:

Quiero reiterar: degradar Parity a versiones anteriores a Constantinopla es una mala idea; no T lo recomendamos a nadie. En teoría, debería funcionar, pero no queremos lidiar con ese desastre.

De manera similar, el gerente de lanzamiento de Parity, Afri Schoedon, le dijo a CoinDesk que recomienda 2.2.7, aunque los otros dos también deberían funcionar.

En una entrada de blogEl desarrollador CORE Hudson Jameson escribió que cualquiera que no ejecute un nodo o participe de otra manera en la red no necesita hacer nada.

Los propietarios de contratos inteligentes tampoco necesitan hacer nada, aunque "pueden optar por examinar el análisis de la vulnerabilidad potencial y verificar sus contratos", escribió.

Sin embargo, señaló que no se habilitará el cambio que podría introducir el potencial problema.

En el momento de la publicación de la entrada del blog, los investigadores de seguridad de ChainSecurity,quien descubrió inicialmente el errory TrailOfBits están analizando la cadena de bloques en general.

Ataques de reentrada

Hasta el momento, no se han descubierto casos de esta vulnerabilidad en contratos activos. Sin embargo, Jameson señaló que "todavía existe un riesgo no nulo de que algunos contratos puedan verse afectados".

Para que las transferencias en Ethereum eviten ataques de reentrada, se paga una pequeña cantidad de ether llamada GAS , que evita que los atacantes reutilicen una transferencia para robar fondos.

Sin embargo, como explicó a CoinDesk Hubert Ritzdorf (el individuo que encontró la vulnerabilidad y CTO de Chain Security), un "efecto secundario" de EIP 1283 garantiza que los atacantes puedan aprovechar esta pequeña cantidad de GAS con fines maliciosos.

"La diferencia es que antes no se podía hacer algo malicioso con ese BIT de GAS, se podía hacer algo útil pero no malicioso y ahora, como algunas de las operaciones se volvieron más baratas, ahora se puede hacer algo malicioso con ese BIT de GAS", dijo Ritzdorf.

Y aunque el problema de la reentrada siempre está en la mente de los desarrolladores de contratos inteligentes que codifican en Solidity en Ethereum, Matthias Egli, director de operaciones de Chain Security, explicó que los desarrolladores CORE que observan estrictamente la mecánica de la máquina virtual no podrían haber detectado fácilmente esta vulnerabilidad.

Le dijo a CoinDesk:

Es una cuestión de Solidity, no de la CORE de la máquina virtual Ethereum , lo que en la práctica permitió este ataque. Eso fue parte de esta desconexión: en la práctica, pequeños cambios en el costo del GAS permitirán nuevos tipos de ataques que no se habían considerado antes.

Es más, Ritzdorf agregó que la solución a este problema no es tan fácil como actualizar los límites de costo del GAS de Ethereum, y explicó que "si cambiamos esta cantidad a un número pequeño ahora, solucionaríamos la vulnerabilidad, pero también romperíamos muchos contratos [inteligentes] existentes".

Por lo tanto, por el momento, retrasar el viaje a Constantinopla fue la decisión correcta por parte de los desarrolladores CORE según Egli.

"Fue la decisión correcta porque al menos les da tiempo a los investigadores para evaluar el impacto en el mundo real. Es muy probable que este [EIP] se retire y no se incluya en la próxima bifurcación dura, que ahora se ha retrasado quizás un mes", afirmó.

Próximos pasos

Al momento de publicar este artículo, los desarrolladores se están comunicando con intercambios, billeteras, grupos de minería y otros grupos que usan o interactúan con la red Ethereum .

Los desarrolladores CORE planean discutir pasos a más largo plazo, incluido cuándo ejecutar Constantinople y cómo solucionar el error en EIP 1283, durante otra llamada el 18 de enero.

Varios desarrolladores sugirieron iniciar algún tipo de programa de recompensas por errores centrado en analizar el código, con el fin de garantizar que los errores futuros se descubran con mucha antelación, en lugar de "Justo antes del día [hard fork]. "

Szilágyi señaló que el EIP había sido disponible para revisióndurante casi un año,añadiendo que"Tal vez no sea mala idea otorgar subvenciones para personas con mayor visión de futuro".

Imagen de códigovía Shutterstock