Les développeurs débattent des protocoles de Déclaration de transparence après le hard fork « accidentel » Ethereum

Les développeurs Ethereum envisagent des changements pour divulguer publiquement les bugs critiques suite aux événements du 11 novembre.hard fork accidentel."

Selon unrédaction technique publiée par Geth – le plus grand client Ethereum écrit en langage Go – un vecteur d'attaque par déni de service (DoS) a été déclenché intentionnellementpar un utilisateur en aval à titre de test, ce qui donne lieu à une chaîne minoritaire de 30 blocs.

Geth avait corrigé le bug début octobre suite à une Déclaration de transparence, mais il subsistait dans les versions précédentes de Geth. Ce bug entraînait temporairement un changement de comportement des nœuds n'ayant pas mis à jour la version correcte de Geth par rapport aux autres clients.

Désormais, les développeurs réorganisent le processus de Déclaration de transparence des vulnérabilités de sécurité à la suite de ce que certains développeurs ont découvert. ont appelé la plus grande menace contre Ethereum depuis l'attaque de 2016 contre The DAO.

Sur le même sujet : Le « hard fork non annoncé » visait à empêcher la perturbation qu'il a provoquée.

Cette question a son lot de conséquences. Une philosophie courante dans les logiciels libres (OSS) comme Ethereum est que les fournisseurs ont pour mission « d'avertir rapidement les personnes concernées par les vulnérabilités », a déclaré James Prestwich, fondateur de Summa, à CoinDesk dans un message. Autrement dit, Geth a la responsabilité d'avertir les utilisateurs dépendants des complications possibles, a-t-il ajouté.

«La Déclaration de transparence est un sujet complexe »

Pourtant, les blockchains sont, par CORE, des mécanismes de règlement financier. Les méthodes traditionnelles de divulgation des bugs dans les OSS peuvent avoir des conséquences néfastes pour les autres acteurs qui risquent de l'argent.

Dans Appel de tous les développeurs CORE du vendrediMicah Zoltu, développeur Ethereum , et Peter Szilágyi, chef de l'équipe Geth, ont tous deux désapprouvé la publication d'une liste de notifications pour les vulnérabilités critiques. Zoltu a affirmé qu'une telle liste créerait des conditions de concurrence inégales pour les projets, tandis que Szilágyi a déclaré que chaque Déclaration de transparence de bug crée un point faible dans l'infrastructure d'Ethereum.

Par exemple, révéler le bug en amont au fournisseur de services Infura – que la plupart des Finance décentralisée (DeFi) utilisent pour se connecter à la blockchain Ethereum – constituerait un avantage déloyal face à ses concurrents. De plus, les conséquences pour l'écosystème dans son ensemble pourraient être graves si des informations privilégiées de la liste étaient divulguées à des parties adverses.

Si on lui en donnait à nouveau la possibilité, Szilágyi a déclaré qu'il procéderait de la même manière pour la récente Déclaration de transparence , c'est-à-dire en gardant le bogue de consensus secret (bien qu'il ait précisé à un moment donné au cours de l'appel qu'ils auraient dû informer les utilisateurs qu'une ancienne version de Geth contenait une vulnérabilité). Geth a déjà procédé de la même manière pour d'autres vulnérabilités de consensus, a-t-il précisé.

«La Déclaration de transparence est un sujet complexe et la sécurité des utilisateurs est primordiale », a conclu Prestwich.

Mise à jour (13 novembre 21h00 UTC) : Une version précédente de cet article indiquait à tort que 80 % du réseau avait emprunté la mauvaise chaîne. Seuls les nœuds n'ayant pas mis à jour la version Geth correcte ont rejoint la chaîne minoritaire.