在其中一项计划的变更中发现了一个严重的漏洞后,以太坊长期以来的君士坦丁堡升级刚刚推迟。
智能合约审计公司ChainSecurity 周二表示,如果实施以太坊改进提案(EIP)1283,可能会为攻击者提供窃取用户资金的代码漏洞。在电话会议上,以太坊开发商以及客户和其他运营网络项目的开发商同意在评估问题时推迟硬分叉,这个至少是暂时的。
参与者包括以太坊创造者Vitalik Buterin,开发人员Hudson Jameson,Nick Johnson和Evan Van Ness,以及Parity发布经理Afri Schoedon等。星期五另一个以太坊开发电话会议期间将决定新的分叉日期。
在线讨论漏洞,该项目的核心开发人员得出的结论是,在硬分叉之前修复漏洞需要很长时间,预计将在1月17日04:00左右执行。
这个漏洞被称为可重入攻击,它实质上允许攻击者多次“重新进入”同一个函数,而无需更新用户的事务状态。在这种情况下,攻击者基本上可以“永远撤回资金”,区块链分析公司Amberdata的首席技术官Joanes Espanol在某次采访中表示。
他解释说:
“想象一下,我的合同有一个函数可以调用另一个合同......如果我是一个黑客,我能够在前一个功能仍在执行的情况下触发功能,我可以提取资金。”
这类似于现在臭名昭着的2016年DAO攻击中发现的漏洞之一。
ChainSecurity的帖子解释说,在君士坦丁堡之前,网络上的存储操作将耗费5,000气体,超过通常在使用“转移”或“发送”功能调用合同时发送的2,300气体。
但是,如果实施升级,“脏”存储操作将耗费200个气体。“攻击者合同可以使用2300天然气津贴成功操纵弱势合约的变量。”
之前预计君士坦丁堡将在去年启动,但在Ropsten测试网上启动升级后发现问题后推迟。
上文内容不用于商业目的,如涉及知识产权问题,请权利人联系博为峰小编(021-64471599-8017),我们将立即处理。
