Программное обеспечение Ethereum Parity обновится после обнаружения критической ошибки

В тестовой среде, используемой ONE из двух основных программных продуктов, имеющих решающее значение для работы второго по величине в мире блокчейна, была обнаружена критическая ошибка консенсуса.

Вчера вечером британская компания Parity Technologies представилазапись в блоге, было обнаружено, что проблема приводит к тому, что те, кто запускает программное обеспечение, теряют синхронизацию, что означает, что другие, использующие другое программное обеспечение, не распознают их транзакции. Хотя уязвимость была обнаружена в тестовой сети, есть опасения, что она может быть использована и в основной сети.

В связи с этим Parity настоятельно рекомендует всем пользователям обновить свое программное обеспечение до последней исправленной версии.

Общедоступные данные

предполагает, что ошибка могла повлиять примерно на 30 процентов сети Ethereum — тех, которые используют программное обеспечение, выпущенное Parity, чтобы оставаться синхронизированными с более широкой сетью. Но, по словам представителей Parity, проблема была исправлена ​​до того, как она достигла узлов, работающих с живым блокчейном Ethereum .

Тем не менее, компаниям необходимо обновить программное обеспечение до нового, чтобы защитить себя от уязвимости в основной сети.

Выступая в Twitter, несколько компаний,включая майнинговый пул Bitfly, заявили, что обновили свое программное обеспечение до новой защищенной версии (1.10.6-stable или 1.11.3-beta).

Поскольку компании, работающие на Ethereum, начинают обновлять свое программное обеспечение, чтобы избежать этой проблемы, было высказано предположение что это все еще может повлиять на любые блокчейны, использующие программное обеспечение Parity, включая пользователей Ethereum Classic (ETC).

Новость об уязвимости появилась в то время, когда Parity былпод пристальным вниманием для нескольких подобных проблем безопасности. Наиболее заметным в ноябре прошлого года был баг в ONE из кошельков компании, в результате которого 513 774,16 ETH, или $311 млн по текущим показателям, были заморожены и, в свою очередь, недоступны для своих владельцев.

Обсуждение вопроса о том, следует ли возвращать замороженные средства, продолжается, но в то же время,Паритет заявилсвою приверженность усовершенствованному процессу безопасности, написав:

«Мы хотели бы, чтобы наши ошибки стали катализатором для более безопасной разработки Ethereum ».

Три строки кода

В интервью CoinDesk Вэй Тан, разработчик Parity, который помогал вчера вносить исправления в код, сказал, что ошибка связана с фрагментом кода из предложения по улучшению Ethereum (EIP) 86.

Ранее запланированный для обновления Ethereum в прошлом году, EIP 86 был нацелен на введение так называемой «абстракции учетной записи», позволяющей отправлять транзакции без подписи отправителя. Полное обновление Ethereum до EIP 86 было отложено из-за его сложности, однако Вэй объяснил, что Parity все же реализовала код, возможно, из-за его роли в Ethereum предстоящий консенсусный переход.

По словам Вэя, команда, отвечающая за реализацию этой функции в программном обеспечении Parity, упустила из виду три строки кода, которые привели к вчерашней проблеме с консенсусом.

«Мы пропустили условную проверку в нашем коде, из-за которой полный узел Parity принял блок, содержащий недействительные транзакции», — рассказал Вэй CoinDesk.

Вчера в тестовой сети Ropsten было обнаружено несколько таких транзакций, и из-за несовместимости транзакций с более широким блокчейном Ethereum они привели к возникновению форка между клиентами Parity и Geth (крупнейший поставщик программного обеспечения Ethereum , на долю которого приходится 60 процентов пользователей).

В пресс-релизе Кирилл Пименов, глава службы безопасности Parity, заявил, что в «худшем случае» такие транзакции привели бы к повреждению блоков в основной сети Ethereum , которые «все равно считались бы действительными другими затронутыми узлами Parity Ethereum ».

Пименов продолжил: при наличии достаточной вычислительной мощности такой эксплойт приведет к расколу блокчейна.

«Реакция на эту ситуацию была упреждающей, то есть мы смогли подготовить исправление до того, как кто-либо действительно смог воспользоваться ошибкой. В результате нам удалось предотвратить разделение основной сети», — заявил Пименов в пресс-релизе.

Вэй поддержал это, заявив, что исправление, выпущенное всего несколько часов назад, было простым.

«Мы добавляем эти три строки недостающей условной проверки в наш код», — сказал Вэй CoinDesk, добавив:

«Но да, эти три строки имеют серьезный эффект. У нас также есть много глаз, чтобы проверять код в ходе процесса».

Красная аварийная кнопкаизображение через Shutterstock