CRYPNOTIX - новости криптовалют, обзоры, сигналы
66
@crypnotix
Музыка — это откровение более высокое, чем мудрость и философия. Самые свежие релизы! deep house!
CRYPNOTIX - новости криптовалют, обзоры, сигналы
Долгожданное обновление Эфириума Constantinople
было отложено после того, как была обнаружена критическая уязвимость в одном из запланированных изменений.
Компания по интеллектуальному аудиту контрактов ChainSecurity во вторник сообщила, что Ethereum Improvement Proposal (EIP) 1283, в случае его реализации, может предоставить злоумышленникам лазейку в коде для кражи средств пользователей. Выступая по вызову, разработчики ethereum, а также разработчики клиентов и других проектов, работающих в сети, согласились отложить хард-форк - хотя бы временно - пока они оценивали проблему.
Среди участников были создатель ethereum Виталик Бутерин, разработчики Хадсон Джеймсон, Ник Джонсон и Эван Ван Несс, а также менеджер по выпуску Parity Афри Шоедон.
Обсуждая эту уязвимость в режиме онлайн, разработчики ядра проекта пришли к выводу, что исправление ошибки займет слишком много времени до «хард-форка», который, как ожидается, будет выполнен около 04:00 UTC 17 января.
Эта уязвимость, называемая повторной атакой, по сути, позволяет злоумышленнику «повторно входить» в одну и ту же функцию несколько раз, не сообщая пользователю о состоянии дел, злоумышленник, по сути, может «выводить средства навсегда», - говорит Джоан Эспанол, технический директор аналитической компании Blockchain. Amberdata
Он объяснил:
«Представьте, что в моем контракте есть функция, которая выполняет вызов другого контракта ... Если я хакер и могу активировать функцию некоторое время, пока предыдущая функция еще выполнялась, я мог бы снять средства».
Это похоже на одну из уязвимостей, обнаруженных в печально известной атаке DAO 2016 года.
В посте ChainSecurity поясняется, что до Constantinople операции по хранению в сети обойдутся в 5000 GAS, что превышает 2300 GAS, обычно отправляемых при вызове контракта с использованием функций «передачи» или «отправки».
Однако, если бы модернизация была осуществлена, «грязные» операции по хранению стоили бы 200 газов. «Контракт злоумышленника может использовать газовую стипендию 2300 для успешного управления переменной уязвимого контракта».