Dlho očakávaný upgrade blockchainu Ethereum Constantinople bol odložený z dôvodu novo objavenej slabiny v zabezpečení jednej z plánovaných zmien.
Chybu včera ohlásila auditná firma ChainSecurity, zaoberajúca sa kontrolou bezpečnosti platforiem pre smart kontrakty. Slabina bola konkrétne objavená v nadchádzajúcom návrhu EIP 1283, ktorý by mohol v prípade implementácie hackerom umožniť vyprázdnenie užívateľských fondov.
”Počas telefonátu s nami bolo potvrdené, že sa komunita klientov i vývojárov zhodla a Constantinople je z bezpečnostných dôvodov odložený.” Coindesk
Medzi hlavných účastníkov rozhodovacieho procesu patril okrem iných pochopiteľne samotný Vitalik Buterin, ale i významní vývojári ako Hudson Jameson, Nick Johsnon, Evan Van Ness alebo vedúci vývojárskej spoločnosti Parity, Afri Schoedon.
Mohlo by vás zaujímať: Constantinople: Všetko, čo potrebujete vedieť o zajtrajšom Ethereum hard-forku
Kedy teda Ethereum fork prebehne?
Počas online diskusií sa vývojári najprv zhodli na tom, že chybu v bezpečnosti kvôli jej komplexnosti opraviť pred pôvodným dátumom aktivácie Constantinople (17. januára 2019) nestihnú. Upgrade je teda skrátka odložený a na nový dátum si budeme musieť počkať.
Constantinople: Kde sa stala chyba?
Útok, ktorého by mohli byť po implementácii EIPu 1283 hackeri schopní by sa dal nazvať ”opakovaným vchodom” alebo ”reentrancy”. Počas tohoto scenára útočník opakovane vstupuje do už uskutočnených procesov a je okrem iného schopný napríklad donekonečna vyberať Eth.
Táto slabina by teoreticky mohla viesť k útokom podobným neslávne známemu útoku DAO z roku 2016.
ChainSecurity vo svojom prehlásení ďalej spomína, že ešte pred implementáciou Constantinople upgradu vyžadovali operácie na úložisku Ethereum 5,000 jednotiek gas, namiesto obvyklých 2,300 využívaných pre operácie typov ”transfer” alebo ”send”.
Avšak pokiaľ by bol upgrade aktivovaný v momentálnom zraniteľnom stave, útočníci by boli ”schopní vykonávať špinavé kontrakty na úložiskách len za 200 jednotiek gas, avšak zároveň využiť predchádzajúcich 2,300 jednotiek za účelom manipulácie variabilných prvkov kontraktu.”
Pôvodne mal byť Constantinople aktivovaný už minulý rok. Odloženie však prebehlo i v októbri minulého roka, kedy boli objavené chyby počas testovania na sieti Ropsten testnet.
Nenechajte si ujsť naše krypto-spravodajstvo a prihláste sa na odber notifikácií. Inštrukcie získate kliknutím na zvonček vľavo dole. Taktiež nás sledujte na našej facebookovej stránke a nenechajte si ujsť najnovšie správy z kryptosveta.
Zdroj:
www.coindesk.com
Tento článok je preložený z originálu, ktorý pre český Kryptomagazin napísal Filip M.
