Ang Mga Kliyente ng Ethereum ay Naglabas ng Bagong Software Kasunod ng Pagkaantala ng Hard Fork

Ang mga pangunahing kliyente ng Ethereum , kabilang ang Go-Ethereum (Geth) at Parity, ay naglabas ng mga update sa software kasunod ng mas maagang desisyon na ipagpaliban ang nakaplanong pag-upgrade sa buong system na tinatawag na Constantinople.

Ang pag-upgrade ay ipinagpaliban noong Martes sa panahon ng isang tawag ng mga developer, isang hakbang na dumating pagkatapos na natuklasan ng blockchain audit firm na Chain Security ang isang kahinaan sa seguridad sa Ethereum Improvement Proposal (EIP) 1283, ONE sa mga binalak na pagbabago na kasama sa Constantinople. Kung pinagsamantalahan, pinahihintulutan ng bug ang "mga pag-atake sa muling pagpasok," na nagpapahintulot sa mga nakakahamak na aktor na mag-withdraw ng mga pondo mula sa parehong pinagmulan nang maraming beses.

Ang isang bagong activation block para sa pag-upgrade ay pagpapasya sa panahon ng isa pang tawag sa huling bahagi ng linggong ito.

Upang maiwasang mangyari ang fork – dahil na-update na ang ilan sa mga software client sa network bago ang fork – lumipat ang mga developer ng mga pangunahing pagpapatupad ng Ethereum upang mag-publish ng mga bagong bersyon.

Naglabas si Geth ng emergency hotfix (bersyon 1.8.21) na idinisenyo upang maantala ang pag-upgrade, bagama't nabanggit ng developer na si Péter Szilágyi na ang mga user na hindi gustong mag-upgrade sa bagong bersyon ng client ay maaari ding mag-downgrade ng kanilang mga kasalukuyang kliyente sa bersyon 1.8.19 o magpatuloy sa pagpapatakbo ng kasalukuyang bersyon (1.8.20) na may override.

Parehong maaaring i-upgrade ng mga parity client ang kanilang mga kasalukuyang kliyente sa 2.2.7 (ang stable na release) o 2.3.0 (isang beta release) o kung hindi man ay mag-downgrade sa 2.2.4 (beta).

Parity Technologies pinuno ng seguridad Kirill Pimenov, nagsasalita sa isang chat ng mga developer ng CORE ng Ethereum on Gitter, sinabi niyang inirerekomenda niya ang mga user na mag-upgrade sa bagong release, sa halip na mag-downgrade sa mas lumang bersyon, na nagpapaliwanag:

"Gusto kong ipahayag muli — ang pag-downgrade ng Parity sa mga bersyon ng pre-Constantinople ay isang masamang ideya, T namin inirerekomenda iyon sa sinuman. Sa teoryang ito ay dapat na gumana, ngunit T namin nais na harapin ang gulo na iyon."

Katulad nito, sinabi ng manager ng Parity release na si Afri Schoedon sa CoinDesk na inirerekomenda niya ang 2.2.7, kahit na ang iba pang dalawa ay dapat ding gumana.

Sa isang blog post, isinulat ng CORE developer na si Hudson Jameson na ang sinumang hindi nagpapatakbo ng isang node o kung hindi man ay lumahok sa network ay hindi kailangang gumawa ng anuman.

Ang mga may-ari ng matalinong kontrata ay hindi kailangang gumawa ng anuman, kahit na "maaari mong piliin na suriin ang pagsusuri ng potensyal na kahinaan at suriin ang iyong mga kontrata," isinulat niya.

Gayunpaman, itinuro niya na ang pagbabago na maaaring magpakilala sa potensyal na isyu ay hindi paganahin.

Sa paglalathala ng post sa blog, ang mga mananaliksik sa seguridad na may ChainSecurity, na unang nakatuklas ng bug, at TrailOfBits ay sinusuri ang kabuuang blockchain.

Mga pag-atake sa muling pagpasok

Sa ngayon, walang mga pagkakataon ng kahinaan ang natuklasan sa mga live na kontrata. Gayunpaman, binanggit ni Jameson na "mayroon pa ring non-zero na panganib na maaaring maapektuhan ang ilang kontrata."

Upang ang mga paglilipat sa Ethereum ay maiwasan ang mga pag-atake sa muling pagpasok, isang maliit na halaga ng ether na tinatawag na GAS ang binabayaran na pumipigil sa mga umaatake na muling gamitin ang isang paglilipat upang magnakaw ng mga pondo.

Gayunpaman, tulad ng ipinaliwanag sa CoinDesk ni Hubert Ritzdorf – ang indibidwal na nakahanap ng kahinaan at CTO ng Chain Security – isang "side effect" ng EIP 1283 ang nagsisiguro na ang mga umaatake ay magagamit ang maliit na halaga ng GAS na ito para sa mga malisyosong layunin.

"Ang pagkakaiba ay bago ka T makagawa ng isang bagay na nakakapinsala sa BIT na GAS na ito, maaari kang gumawa ng isang bagay na kapaki-pakinabang ngunit hindi isang bagay na nakakahamak at ngayon dahil ang ilan sa mga operasyon ay naging mas mura, ngayon ay maaari kang gumawa ng isang bagay na nakakapinsala sa BIT na GAS na ito," sabi ni Ritzdorf.

At kahit na ang isyu ng muling pagpasok ay palaging nasa isip ng mga matalinong developer ng kontrata na nagko-coding sa Solidity on Ethereum, ipinaliwanag ni Matthias Egli – COO ng Chain Security – na ang mga CORE developer na mahigpit na tumitingin sa mekanika ng virtual machine ay T madaling makita ang kahinaan na ito.

Sinabi niya sa CoinDesk:

"Ito ay isang Solidity na bagay, ito ay hindi isang [Ethereum virtual machine] na CORE bagay na sa pagsasagawa ay pinahihintulutan ang pag-atake na ito. Iyon ay bahagi ng pagdiskonekta na ito na sa pagsasagawa ng maliliit na pagbabago sa GAS cost ay magbibigay-daan sa bagong uri ng mga pag-atake na T isinasaalang-alang dati."

Higit pa rito, idinagdag ni Ritzdorf na ang pag-aayos sa isyung ito ay T kasingdali ng pag-update ng mga limitasyon sa GAS ng ethereum, na nagpapaliwanag na "kung babaguhin natin ang halagang ito sa maliit na bilang ngayon, aayusin natin ang kahinaan ngunit sisirain din natin ang maraming umiiral na [matalinong] kontrata."

Dahil dito, sa ngayon, ang pagkaantala sa Constantinople ay ang tamang tawag ng mga CORE developer ayon kay Egli.

"It was the right decision because it at least buys some time for researchers to evaluate the real world impact. With high likelihood, this [EIP] will be taken back and not included in the upcoming hard fork which is now delayed by probably a month," he contended.

Mga susunod na hakbang

Sa oras ng press, nakikipag-ugnayan ang mga developer sa mga exchange, wallet, mining pool at iba pang grupo na gumagamit o nakikipag-ugnayan sa Ethereum network.

Plano ng mga CORE developer na talakayin ang mga pangmatagalang hakbang – kabilang ang kung kailan isasagawa ang Constantinople at kung paano ayusin ang bug sa EIP 1283 – sa isa pang tawag sa Ene. 18.

Iminungkahi ng maraming developer na simulan ang ilang uri ng bug bounty program na nakatuon sa pagsusuri sa code, upang matiyak na ang mga bug sa hinaharap ay matutuklasan nang maaga, sa halip na "bago ang [hard fork] day."

Nabanggit ni Szilágyi na ang EIP ay naging magagamit para sa pagsusuri halos isang taon, pagdaragdag niyan "Siguro hindi masamang ideya na gumawa ng ilang mga gawad para sa mas nakatutok na mga mata."

Larawan ng code sa pamamagitan ng Shutterstock