Парність програмного забезпечення Ethereum для оновлення після виявлення критичної помилки

Критичну помилку консенсусу було виявлено в середовищі тестування, яке використовувалося ONE із двох основних програм, що має вирішальне значення для роботи другого за величиною блокчейну в світі.

Виявлено вчора ввечері британською компанією Parity Technologies в a публікація в блозібуло виявлено, що проблема спричиняє розлад синхронізації тих, хто використовує програмне забезпечення, тобто інші, хто використовує інше програмне забезпечення, не розпізнають їхні транзакції. Хоча вразливість було виявлено в тестовій мережі, викликає занепокоєння те, що її також можна використати в основній мережі.

Таким чином, Parity зараз закликає всіх користувачів оновити своє програмне забезпечення до нової версії з виправленнями.

Загальнодоступні дані

припускає, що помилка могла вплинути приблизно на 30 відсотків мережі Ethereum – ті, які використовують програмне забезпечення, випущене Parity, щоб підтримувати синхронізацію з ширшою мережею. Але, за словами представників Parity, проблема була виправлена ​​до того, як вона досягла вузлів, що керують живим блокчейном Ethereum .

Тим не менш, компанії повинні оновити програмне забезпечення до нового програмного забезпечення, щоб захиститися від уразливості в основній мережі.

Виступаючи в Twitter, кілька компаній, включаючи пул для майнінгу Bitfly, заявили, що оновили своє програмне забезпечення до нової захищеної ітерації (1.10.6-стабільна або 1.11.3-бета).

Оскільки компанії, які працюють на Ethereum, починають оновлювати своє програмне забезпечення, щоб уникнути проблеми, це було теоретизовано що це може вплинути на будь-які блокчейни, на яких працює програмне забезпечення Parity, включно з користувачами Ethereum Classic (ETC).

Новина про вразливість з’явилася в той час, коли Parity зник під посиленим контролем для кількох подібних проблем безпеки. Зокрема, у листопаді минулого року помилка в ONE з гаманців компанії призвела до того, що 513 774,16 ETH, або 311 мільйонів доларів відповідно до поточних показників, було заморожено та, у свою чергу, недоступно для його власників.

Тривають дискусії щодо повернення заморожених коштів, але тим часом Паритет заявив свою прихильність вдосконаленому процесу безпеки, написавши:

«Ми хотіли б, щоб наші помилки стали каталізатором для більш безпечної розробки Ethereum ».

Три рядки коду

Розмовляючи з CoinDesk, Вей Тан, розробник Parity, який допомагав із вчорашнім виправленням коду, сказав, що помилка пов’язана з фрагментом коду з пропозиції щодо вдосконалення Ethereum (EIP) 86.

Раніше планувалося оновлення Ethereum минулого року, EIP 86 мав на меті представити так звану «абстракцію облікового запису», що дозволяє надсилати транзакції без підпису відправника. Повне оновлення Ethereum до EIP 86 було відкладено через його складність, однак Вей пояснив, що Parity все ж реалізував код, можливо, через його роль у ethereum майбутній консенсусний перехід.

За словами Вея, команда, відповідальна за реалізацію цього в програмному забезпеченні Parity, пропустила три рядки коду, що призвело до вчорашньої проблеми консенсусу.

«Ми пропустили умовну перевірку в нашому коді, через що повний вузол Parity прийняв блок, що містить недійсні транзакції», — сказав Вей CoinDesk.

Кілька таких транзакцій було виявлено в тестовій мережі Ropsten вчора, і через несумісність транзакцій із більш широким блокчейном Ethereum , транзакції призвели до розгалуження між клієнтами Parity та Geth (найбільший постачальник програмного забезпечення Ethereum , на який припадає 60 відсотків користувачів).

Виступаючи в прес-релізі, Кирило Піменов, керівник відділу безпеки в Parity, сказав, що в «найгіршому випадку» такі транзакції призвели б до пошкоджених блоків в основній мережі Ethereum , які «все одно будуть розглядатися як дійсні іншими постраждалими вузлами Parity Ethereum ».

За достатньої хеш-потужності такий експлойт призведе до розколу блокчейну, продовжив Піменов.

«Реакція на цю ситуацію була проактивною, тобто ми змогли підготувати виправлення до того, як хтось фактично зміг використати помилку. В результаті нам вдалося запобігти розколу основної мережі», — заявив Піменов у прес-релізі.

Вей повторив це, сказавши, що виправлення, яке було випущено лише кілька годин тому, було простим.

«Ми додаємо ці три рядки відсутньої умовної перевірки в наш код», — сказав Вей CoinDesk, додавши:

«Але так, ці три рядки мають серйозний ефект. Ми також маємо багато очей, щоб перевірити код під час процесу».

Червона аварійна кнопка зображення через Shutterstock