Клиенты Ethereum выпускают новое программное обеспечение в связи с задержкой хард-форка

Основные клиенты Ethereum , включая Go-Ethereum (Geth) и Parity, выпустили обновления программного обеспечения после ранее принятого решения отложить запланированное общесистемное обновление, получившее название Constantinople.

Обновление былоотложено во вторник во время звонка разработчикам, шаг, который был предпринят после того, как аудиторская фирма блокчейна Chain Security обнаружила уязвимость безопасности в Ethereum Improvement Proposal (EIP) 1283, ONE из запланированных изменений, включенных в Constantinople. Если бы она была использована, ошибка позволила бы проводить «атаки повторного входа», позволяя злоумышленникам выводить средства из одного и того же источника несколько раз.

Решение о новом блоке активации обновления будет принято во время другого звонка позднее на этой неделе.

Чтобы предотвратить форк (учитывая, что некоторые программные клиенты в сети уже были обновлены до форка), разработчики основных реализаций Ethereum приступили к публикации новых версий.

Geth выпустил экстренное исправление (версия 1.8.21), призванное отсрочить обновление, хотя разработчик Петер Силади отметил, что пользователи, которые не хотят обновляться до новой версии клиента, также могут понизить свои существующие клиенты до версии 1.8.19 или продолжить использовать текущую версию (1.8.20) с переопределением.

Клиенты Parity могут аналогичным образом обновить свои существующие клиенты до версии 2.2.7 (стабильная версия) или 2.3.0 (бета-версия) или же понизить версию до 2.2.4 (бета-версия).

Руководитель службы безопасности Parity Technologies Кирилл Пименов, выступая вчат разработчиков CORE Ethereum на Gitter, сказал, что рекомендует пользователям обновиться до новой версии, а не откатываться до старой, объяснив:

«Я хочу повторить — понижение Parity до версий до Константинополя — плохая идея, мы никому этого T рекомендуем. Теоретически это даже должно работать, но мы T хотим иметь дело с этим беспорядком».

Аналогичным образом, менеджер по выпуску Parity Афри Шоедон сообщил CoinDesk , что рекомендует версию 2.2.7, хотя остальные две тоже должны работать.

В запись в блогеCORE разработчик Хадсон Джеймсон написал, что любому, кто не управляет узлом или иным образом не участвует в сети, не нужно ничего делать.

Владельцам смарт-контрактов также не нужно ничего делать, хотя «вы можете изучить анализ потенциальной уязвимости и проверить свои контракты», — написал он.

Однако он отметил, что изменение, которое может привести к потенциальной проблеме, не будет реализовано.

На момент публикации сообщения в блоге исследователи безопасности из ChainSecurity,кто изначально обнаружил ошибкуи TrailOfBits анализируют весь блокчейн.

Атаки с повторным входом

До сих пор не было обнаружено ни одного случая уязвимости в действующих контрактах. Однако Джеймсон отметил, что «все еще существует ненулевой риск того, что некоторые контракты могут быть затронуты».

Для того чтобы переводы на Ethereum не допускали повторных атак, выплачивается небольшая сумма эфира, называемая GAS , которая не позволяет злоумышленникам повторно использовать перевод для кражи средств.

Однако, как объяснил CoinDesk Хуберт Ритцдорф — человек, обнаруживший уязвимость, и технический директор Chain Security, — «побочный эффект» EIP 1283 позволяет злоумышленникам использовать это небольшое количество GAS в вредоносных целях.

«Разница в том, что раньше с этим небольшим BIT GAS T было сделать ничего вредоносного, можно было сделать что-то полезное, но не вредоносное, а теперь, поскольку некоторые операции стали дешевле, теперь с этим небольшим BIT GAS можно сделать что-то вредоносное», — сказал Рицдорф.

И хотя проблема повторного входа всегда волнует разработчиков смарт-контрактов, работающих на Solidity в Ethereum, Маттиас Эгли, главный операционный директор Chain Security, объяснил, что CORE разработчики, строго изучающие механику виртуальной машины, T могли легко обнаружить эту уязвимость.

Он сказал CoinDesk:

«Это особенность Solidity, а не CORE ​​[виртуальной машины Ethereum ], которое на практике допускает эту атаку. Это было частью этого разрыва, что на практике небольшие изменения в стоимости GAS позволят проводить новые виды атак, которые ранее T рассматривались».

Более того, Ритцдорф добавил, что исправить эту проблему T так просто, как обновить лимиты стоимости GAS в Ethereum, объяснив, что «если мы изменим эту сумму на небольшое число сейчас, то мы устраним уязвимость, но также нарушим многие существующие [смарт-контракты]».

Таким образом, по словам Эгли, на данный момент отсрочка полета в Константинополь была правильным решением со стороны CORE разработчиков.

«Это было правильное решение, поскольку оно, по крайней мере, дает исследователям немного времени для оценки влияния на реальный мир. С высокой вероятностью этот [EIP] будет возвращен и не включен в предстоящий хард-форк, который сейчас отложен, возможно, на месяц», — утверждает он.

Следующие шаги

На момент публикации статьи разработчики связываются с биржами, кошельками, майнинговыми пулами и другими группами, которые используют или взаимодействуют с сетью Ethereum .

CORE разработчики планируют обсудить долгосрочные шаги, включая сроки выполнения Constantinople и способы исправления ошибки в EIP 1283, во время другого совещания 18 января.

Несколько разработчиков предложили инициировать своего рода программу вознаграждения за обнаруженные ошибки, ориентированную на анализ кода, чтобы гарантировать, что будущие ошибки будут обнаружены заблаговременно, а не "прямо перед днем [хард-форка]."

Силадьи отметил, что EIP был доступно для обзорапочти год,добавив, что «возможно, было бы неплохой идеей выделить несколько грантов для более сфокусированных глаз».

Код изображениячерез Shutterstock