Các khách hàng ethereum lớn, bao gồm Go-Ethereum (Geth) và Parity, đã phát hành các bản cập nhật phần mềm sau quyết định trước đó để trì hoãn việc nâng cấp toàn hệ thống theo kế hoạch có tên Constantinople.

. , một trong những thay đổi được lên kế hoạch bao gồm trong Constantinople. Nếu bị khai thác, lỗi này sẽ cho phép các cuộc tấn công tái xuất hiện, phạm vi cho phép các diễn viên độc hại rút tiền từ cùng một nguồn nhiều lần.

Một khối kích hoạt mới để nâng cấp sẽ được quyết định trong một cuộc gọi khác vào cuối tuần này.

Để ngăn chặn ngã ba xảy ra – do một số khách hàng phần mềm trên mạng đã được cập nhật trước ngã ba – các nhà phát triển của các triển khai ethereum chính đã chuyển sang xuất bản phiên bản mới.

Geth đã phát hành một hotfix khẩn cấp (phiên bản 1.8.21) được thiết kế để trì hoãn việc nâng cấp mặc dù nhà phát triển Péter Szilágyi lưu ý rằng người dùng không muốn nâng cấp lên phiên bản mới của máy khách cũng có thể hạ cấp các máy khách hiện tại của chúng xuống phiên bản 1.8.19 hoặc tiếp tục chạy phiên bản hiện tại (1.8.20) với một ghi đè.

Các máy khách chẵn lẻ có thể nâng cấp tương tự các máy khách hiện tại của chúng lên 2.2.7 (bản phát hành ổn định) hoặc 2.3.0 (bản phát hành beta) hoặc hạ cấp xuống 2.2.4 (beta).

Kirill Pimenov, người đứng đầu bộ phận bảo mật của Parity Technologies, phát biểu trong một các nhà phát triển lõi ethereum trò chuyện trên Gitter một phiên bản cũ hơn, giải thích:

Tôi muốn khôi phục lại – hạ cấp Parity xuống các phiên bản tiền Constantinople là một ý tưởng tồi, chúng tôi không khuyến nghị điều đó cho bất cứ ai. Về mặt lý thuyết, nó thậm chí sẽ hoạt động, nhưng chúng tôi không muốn đối phó với mớ hỗn độn đó. [[9009004]

Tương tự, người quản lý phát hành chẵn lẻ Afri Schoedon nói với CoinDesk rằng ông đề xuất 2.2.7, mặc dù hai cái kia cũng sẽ hoạt động tốt.

Trong một bài đăng trên blog nhà phát triển cốt lõi Hudson Jameson đã viết rằng bất kỳ ai không chạy nút hoặc tham gia vào mạng thì không cần phải làm gì cả.

Chủ sở hữu hợp đồng thông minh cũng không cần làm gì cả, mặc dù bạn có thể chọn kiểm tra phân tích lỗ hổng tiềm năng và kiểm tra các hợp đồng của mình, anh ấy đã viết.

Tuy nhiên, ông chỉ ra rằng sự thay đổi có thể gây ra vấn đề tiềm năng sẽ không được kích hoạt.

Kể từ khi xuất bản bài đăng trên blog, các nhà nghiên cứu bảo mật với ChainSecurance, ban đầu đã phát hiện ra lỗi và TrailOfBits đang phân tích tổng thể blockchain.

Tấn công lại

Cho đến nay, không có trường hợp nào bị tổn thương được phát hiện trong các hợp đồng trực tiếp. Tuy nhiên, Jameson lưu ý rằng, vẫn có một rủi ro khác không, một số hợp đồng có thể bị ảnh hưởng. Tiết

Để chuyển tiền trên ethereum để tránh các cuộc tấn công tái chiếm, một lượng nhỏ ether gọi là gas được thanh toán để ngăn chặn những kẻ tấn công tái sử dụng chuyển tiền để đánh cắp tiền.

Tuy nhiên, như được giải thích với CoinDesk bởi Hubert Ritzdorf – cá nhân đã tìm thấy lỗ hổng và CTO của Bảo mật chuỗi – một hiệu ứng phụ của EIP 1283 đảm bảo kẻ tấn công có thể tận dụng lượng khí nhỏ này cho mục đích xấu.

Sự khác biệt là trước khi bạn không thể làm điều gì đó độc hại với chút khí này, bạn có thể làm điều gì đó hữu ích nhưng không phải là thứ gì đó độc hại và bây giờ vì một số thao tác trở nên rẻ hơn, giờ bạn có thể làm điều gì đó độc hại với chút ít khí này, xông khói cho biết Ritzdorf.

Và mặc dù vấn đề tái lập luôn luôn xuất hiện trong suy nghĩ của các nhà phát triển hợp đồng thông minh mã hóa trong Solidity trên ethereum, Matthias Egli – COO của Chain Security – giải thích rằng các nhà phát triển cốt lõi nhìn nghiêm túc vào cơ chế của máy ảo không thể t đã dễ dàng phát hiện ra lỗ hổng này.

Ông nói với CoinDesk:

Đổi nó là một vật rắn, nó không phải là một thứ cốt lõi [ethereum virtual machine] mà trong thực tế cho phép cuộc tấn công này. Đó là một phần của sự mất kết nối này trong thực tế, những thay đổi nhỏ đối với chi phí gas sẽ cho phép các loại tấn công mới đã được xem xét trước đó.

Hơn nữa, Ritzdorf nói thêm rằng việc khắc phục vấn đề này không dễ như cập nhật giới hạn chi phí gas của ethereum, giải thích rằng nếu bây giờ chúng tôi thay đổi số tiền này thành một số nhỏ thì chúng tôi sẽ khắc phục lỗ hổng nhưng chúng tôi sẽ khắc phục lỗ hổng cũng sẽ phá vỡ nhiều hợp đồng [smart] hiện có. Nhẫn

Như vậy, trong thời điểm hiện tại, sự chậm trễ đối với Constantinople là lời kêu gọi đúng đắn của các nhà phát triển cốt lõi theo Egli.

Đổi I t là quyết định đúng đắn vì ít nhất nó phải mua một thời gian để các nhà nghiên cứu đánh giá tác động của thế giới thực. Với khả năng cao, [EIP] này sẽ bị lấy lại và không bao gồm trong hard fork sắp tới mà hiện có thể bị trì hoãn bởi có lẽ một tháng, anh ấy dự định.

Các bước tiếp theo

Vào thời điểm báo chí, các nhà phát triển đang liên hệ với các sàn giao dịch, ví, nhóm khai thác và các nhóm khác sử dụng hoặc tương tác với mạng ethereum.

Các nhà phát triển cốt lõi có kế hoạch thảo luận về các bước dài hạn hơn – bao gồm khi nào thực thi Constantinople và cách sửa lỗi trong EIP 1283 – trong một cuộc gọi khác vào ngày 18 tháng 1.

Nhiều nhà phát triển đề nghị khởi xướng một số loại chương trình tiền thưởng lỗi tập trung vào phân tích mã, để đảm bảo các lỗi trong tương lai được phát hiện trước, thay vì trước ngay trước ngày [hard fork] . Nghi

Szilágyi lưu ý rằng EIP đã có có sẵn để xem xét trong gần một năm, thêm vào đó không phải là một ý tưởng tồi để thực hiện một số khoản trợ cấp cho đôi mắt tập trung hơn. [[9009004]

Mã hình ảnh qua Shutterstock

        



Nguồn bitcoinmagazine