L'aggiornamento di Constantinople di Ethereum subisce ritardi a causa di una vulnerabilità di sicurezza

L'attesissimo aggiornamento Constantinople di Ethereum è stato appena posticipato dopo che è stata scoperta una vulnerabilità critica in ONE delle modifiche pianificate.

Società di revisione dei contratti intelligenti ChainSecuritysegnalato martedì che la Ethereum Improvement Proposal (EIP) 1283, se implementata, potrebbe fornire agli aggressori una scappatoia nel codice per rubare i fondi degli utenti. Parlando in una chiamata, gli sviluppatori Ethereum , così come gli sviluppatori di client e altri progetti che gestiscono la rete, hanno concordato di ritardare l'hard fork, almeno temporaneamente, mentre valutavano il problema.

Tra i partecipanti c'erano il creatore Ethereum Vitalik Buterin, gli sviluppatori Hudson Jameson, Nick Johnson ed Evan Van Ness e il responsabile del rilascio di Parity Afri Schoedon, tra gli altri. Una nuova data di fork verrà decisa durante un'altra chiamata di sviluppo Ethereum venerdì.

Discutendo della vulnerabilità online, gli sviluppatori CORE del progetto sono giunti alla conclusione che ci sarebbe voluto troppo tempo per risolvere il bug prima dell'hard fork, che si prevedeva sarebbe stato eseguito intorno 04:00 UTC del 17 gennaio.

Chiamata attacco di reentrancy, la vulnerabilità consente essenzialmente a un aggressore di "rientrare" nella stessa funzione più volte senza aggiornare l'utente sullo stato delle cose. In questo scenario, un aggressore potrebbe essenzialmente "prelevare fondi per sempre", ha affermato Joanes Espanol, CTO della società di analisi blockchain Amberdata in una precedente intervista con CoinDesk.

Ha spiegato:

"Immaginate che il mio contratto abbia una funzione che effettua una chiamata a un altro contratto... Se fossi un hacker e riuscissi a innescare una funzione mentre la funzione precedente era ancora in esecuzione, potrei riuscire a prelevare fondi."

Questo è simile

a ONE delle vulnerabilità riscontrate nell'ormai famigerato Attacco DAO del 2016.

Il post di ChainSecurity spiegava che prima di Costantinopoli le operazioni di stoccaggio sulla rete costavano 5.000 GAS, cifra superiore alle 2.300 GAS solitamente inviate quando si chiama un contratto utilizzando le funzioni "trasferisci" o "invia".

Tuttavia, se l'aggiornamento fosse stato implementato, le operazioni di archiviazione "sporche" costerebbero 200 GAS. Un "contratto di aggressore può usare lo stipendio di 2300 GAS per manipolare con successo la variabile del contratto vulnerabile".

In precedenza si prevedeva che Costantinopoli si sarebbe attivata l'anno scorso, ma è stata ritardata dopo che sono stati riscontrati problemi durante il lancio degli aggiornamenti suRete di prova Ropsten.

Ethereumimmagine tramite Shutterstock