Клієнти Ethereum випускають нове програмне забезпечення після затримки хардфорку

Основні клієнти Ethereum , включаючи Go-Ethereum (Geth) і Parity, випустили оновлення програмного забезпечення після попереднього рішення відкласти заплановане загальносистемне оновлення під назвою Constantinople.

Оновлення було перенесено на вівторок під час телефонної розмови з розробниками. Цей крок був зроблений після того, як аудиторська фірма Chain Security виявила вразливість у безпеці в пропозиції щодо вдосконалення Ethereum (EIP) 1283, ONE із запланованих змін, включених у Константинополь. У разі використання помилки дозволили б «атаки повторного входу», дозволяючи зловмисникам кілька разів виводити кошти з одного джерела.

Новий блок активації для оновлення буде прийнято під час іншої телефонної розмови пізніше цього тижня.

Щоб запобігти розгалуженню — враховуючи, що деякі клієнти програмного забезпечення в мережі вже були оновлені перед розгалуженням — розробники основних реалізацій Ethereum почали публікувати нові версії.

Geth випустив екстрене виправлення (версія 1.8.21), призначене для затримки оновлення, хоча розробник Péter Szilágyi зазначив, що користувачі, які не бажають оновлюватися до нової версії клієнта, також можуть повернутися до версії 1.8.19 або продовжити роботу поточної версії (1.8.20) із перевизначенням.

Клієнти Parity так само можуть оновити свої існуючі клієнти до 2.2.7 (стабільний випуск) або 2.3.0 (бета-версія) або іншим чином повернутися до 2.2.4 (бета).

Керівник служби безпеки Parity Technologies Кирило Піменов, виступаючи в ан чат розробників CORE Ethereum на Gitter сказав, що рекомендував користувачам оновитися до нової версії, а не повертатися до старішої версії, пояснюючи:

«Хочу повторити: зниження Parity до доконстантинопольської версії — погана ідея, ми нікому цього T рекомендуємо. Теоретично це навіть має спрацювати, але ми T хочемо мати справу з цим безладом».

Подібним чином менеджер з випуску Parity Афрі Шоедон сказав CoinDesk , що він рекомендує 2.2.7, хоча інші два також повинні працювати.

в публікація в блозі, CORE розробник Хадсон Джеймсон написав, що будь-кому, хто не керує вузлом або іншим чином не бере участі в мережі, не потрібно нічого робити.

Власникам розумних контрактів також нічого не потрібно робити, хоча «ви можете вивчити аналіз потенційної вразливості та перевірити свої контракти», — написав він.

Однак він зазначив, що зміна, яка може спричинити потенційну проблему, не буде ввімкнена.

На момент публікації допису в блозі дослідники безпеки з ChainSecurity, який спочатку виявив помилку, і TrailOfBits аналізують загальний блокчейн.

Повторні атаки

Наразі жодних випадків уразливості в діючих контрактах не виявлено. Однак Джеймсон зазначив, що «все ще існує ненульовий ризик того, що деякі контракти можуть бути вплинути».

Для того, щоб перекази в Ethereum уникали атак повторного входу, сплачується невелика кількість ефіру, яка називається GAS , що запобігає зловмисникам від перепрофілювання переказу для крадіжки коштів.

Однак, як пояснив CoinDesk Губерт Рітцдорф, особа, яка знайшла вразливість і технічний директор Chain Security, «побічний ефект» EIP 1283 гарантує, що зловмисники можуть використовувати цю невелику кількість GAS для зловмисних цілей.

«Різниця полягає в тому, що раніше ви T могли зробити щось зловмисне за допомогою цієї невеликої BIT GAS, ви могли зробити щось корисне, але не щось зловмисне, а тепер, оскільки деякі операції стали дешевшими, тепер ви можете зробити щось зловмисне за допомогою цієї невеликої BIT GAS», — сказав Рітцдорф.

І хоча питання повторного входу завжди в голові розробників смарт-контрактів, які кодують у Solidity на Ethereum, Маттіас Еглі, головний операційний директор Chain Security, пояснив, що CORE розробники, які суворо вивчають механізми віртуальної машини, T могли легко помітити цю вразливість.

Він сказав CoinDesk:

«Це річ Solidity, а не CORE ​​[віртуальної машини Ethereum ], що на практиці дозволило цю атаку. Це було частиною цього відключення, що на практиці невеликі зміни вартості GAS дозволять новий тип атак, які раніше T розглядалися».

Більше того, Рітцдорф додав, що вирішити цю проблему T так просто, як оновити ліміти вартості GAS для ефіріуму, пояснивши, що «якщо ми зараз змінимо цю суму на невелику, ми виправимо вразливість, але також розірвемо багато існуючих [розумних] контрактів».

Таким чином, на даний момент, за словами Еглі, затримка в Константинополі була правильним закликом CORE розробників.

«Це було правильне рішення, оскільки воно принаймні виграє трохи часу для дослідників, щоб оцінити вплив реального світу. З високою ймовірністю цей [EIP] буде відкликаний і не включений у майбутній хардфорк, який зараз відкладено, можливо, на місяць», — стверджував він.

Наступні кроки

На момент публікації розробники звертаються до бірж, гаманців, майнінг-пулів та інших груп, які використовують або взаємодіють з мережею Ethereum .

CORE розробники планують обговорити довгострокові кроки, зокрема, коли виконувати Constantinople і як виправити помилку в EIP 1283, під час іншої телефонної розмови 18 січня.

Кілька розробників запропонували започаткувати якусь програму винагороди за помилки, зосереджену на аналізі коду, щоб гарантувати, що майбутні помилки будуть виявлені завчасно, а не "безпосередньо перед днем ​​[хардфорку].."

Szilágyi зазначив, що EIP був доступний для огляду майже рік, додавши це «Можливо, це непогана ідея зробити кілька грантів для більш зосереджених очей».

Зображення коду через Shutterstock