RSS канал
Критическую проблему выявила компания-аудитор смарт-контрактов ChainSecurity.
Крупнейшие клиенты сети Ethereum, включая Go-Ethereum (Geth) и Parity, представили новые релизы программного обеспечения после того, как хардфорк Constantinople был перенесен на неясное время в связи с выявленной критической уязвимостью в одном из планировавшихся обновлений.
Руководитель Службы Безопасности Ethereum Foundation призывает не драматизировать ситуацию, согласно официальному заявлению Мартин Холста Свинде вилку поддерживают только 2% хеша сети и поэтому она «умрет» на блоке 7080005. Хардфорк Constantinople должен был случится сегодня. На этот момент готовность к поддержке обновления сообщили 92% узлов, осталось 3% для полноценного проведения развилки без образования «жизнеспособных» побочных форков.
В частности, во встрече приняли участие Виталик Бутерин, создатели Хадсон Джеймсон, Ник Джонсон и Эван ван Несс, а еще релиз-менеджер Parity Афри Шоедон.
Уязвимость могла бы позволить злоумышленникам похитить средства пользователей. Ученые также не нашли свидетельств эксплуатации уязвимости злоумышленниками. Такая уязвимость очень сходна на ту, которую отыскали в The DAO 2-мя годами ранее.
В ChainSecurity поведали о стоимости операций хранения данных до и после хардфорка Constantinople. После апгрейда «грязные» операции хранения будут стоить 200 единиц газа, и атакующий договор может использовать 2300 единиц газа, чтобы благополучно манипулировать переменными уязвимых контрактов. Поэтому без устранения уязвимости хакеры смогут просто манипулировать значениями переменных смарктконтрактов, содержащих уязвимости.