Ethereumクライアントがハードフォークの遅れをきっかけに新しいソフトウェアをリリース

2019年1月31日

Go-Ethereum（Geth）およびParityを含む主要なethereumクライアントは、計画的なシステム全体のアップグレードを遅らせるという以前の決定に続き、Constantinopleと名付けられたソフトウェアアップデートをリリースしました。

アップグレードがされた 火曜日延期 、開発者が通話中に、blockchain監査法人チェーンセキュリティの後に来た動きがイーサリアム改善提案（EIP）1283年、コンスタンティノープルに含まれ、計画変更の1のセキュリティ上の脆弱性を発見しました。悪用されれば、このバグは「再入攻撃」を可能にし、悪意のある行為者が同じソースから何度も資金を引き出すことを可能にします。

アップグレードのための新しいアクティベーションブロックは今週後半の別の電話で決定されます。

ネットワーク上のソフトウェアクライアントの一部がすでにフォークよりも先に更新されていることを考えると、フォークが起こらないようにするために、主要なethereum実装の開発者たちは新しいバージョンを公開することにしました。

Geth はアップグレード を 遅らせる ように設計された緊急修正プログラム（バージョン1.8.21）をリリースしました が、開発者 PéterSzilágyi は新しいバージョンのクライアントにアップグレードしたくないユーザーは既存のクライアントをバージョン1.8.19にダウングレードまたは続行できると述べました現在のバージョン（1.8.20）を上書きして実行します。

パリティクライアントは、同様に既存のクライアントを2.2.7（安定版）または2.3.0（ベータ版）にアップグレードするか、または2.2.4（ベータ）にダウングレードすることができます。

Parity Technologiesのセキュリティ担当責任者、Kirill Pimenov氏は、 Gitter と チャットする中核的な開発者の 話で 、古いバージョンにダウングレードするのではなく、新しいリリースにアップグレードすることを推奨すると述べた。

「言い換えると、ParityをConstantinople以前のバージョンにダウングレードするのは悪い考えです。誰にもお勧めしません。理論的にはうまくいくはずですが、その混乱には対処したくありません。」

同様に、ParityリリースマネージャのAfri Schoedonは、CoinDeskに2.2.7を推奨すると語ったが、他の2つも同様に機能するはずである。

で ブログの記事 、コア開発者ハドソンジェイムソンは、ノードを実行またはネットワークに参加しない人は何もする必要がないことを書きました。

スマート契約の所有者も何もする必要はありませんが、「潜在的な脆弱性の分析を調べて契約を確認することを選択できます」と彼は書いています。

しかし、潜在的な問題を引き起こす可能性のある変更は有効にならないだろうと彼は指摘しました。

このブログ記事の公開時点では、 最初にこのバグを発見 したChainSecurityとTrailOfBitsのセキュリティ研究者が、 ブロックチェーン全体を分析しています。

再入攻撃

これまでのところ、実際の契約でこの脆弱性の事例は発見されていません。しかしJameson氏は、「一部の契約が影響を受ける可能性があるという、ゼロ以外のリスクがまだある」と述べた。

再入攻撃を避けるためにethereumへの送金を行うために、少量のガスと呼ばれるエーテルが支払われ、攻撃者が資金を盗むために送金を再利用することを防ぎます。

しかし、Hubert RitzdorfによるCoinDeskに説明されているように – チェーンセキュリティの脆弱性とCTOを発見した個人 – EIP 1283の「副作用」は攻撃者が悪意のある目的のためにこの少量のガスを利用できることを保証します。

「違いは、この小さなガスで悪意のあることをすることができず、便利なことはできますが悪意のあることはできないということです。今では一部の操作が安くなったのでリッツドルフは言った。

そして、再入の問題は常にSolidity on ethereumでコーディングするスマートコントラクト開発者の頭の中にありますが、仮想マシンのメカニズムを厳密に見ているコア開発者はこの脆弱性を簡単に見つけられないと説明しました。

彼はCoinDeskにこう語った。

「それはSolidityのものです。実際にこの攻撃を許したのは[ethereum仮想マシン]の中核的なものではありません。それは、実際にはガス代のわずかな変更で、これまで考えられていなかった新しい種類の攻撃が可能になるという断絶の一部でした。」

さらに、Ritzdorf氏は、この問題の修正はethereumのガスコスト制限の更新ほど簡単ではないと説明し、「この金額を今では少量に変更すれば脆弱性を修正するが、既存の多くのものは無効にする」と説明した。スマート]契約。

Egli氏によると、当面の間、Constantinopleへの遅れはコア開発者による正しい呼びかけでした。

「 少なくとも、研究者が実際の影響を評価するためにしばらく時間がかかるため、正しい決断でした。たぶん、この[EIP]は取り戻されて、今はおそらく1か月遅れている次のハードフォークには含まれないだろう」と彼は主張した。

次のステップ

現時点では、開発者は、ethereumネットワークを使用または相互作用する取引所、財布、採鉱プールなどの団体と連絡を取り合っています。

コア開発者たちは、1月18日の別の電話会議の中で、Constantinopleを実行する時期やEIP 1283のバグを修正する方法を含む、より長期的な手順について議論する予定です。

複数の開発者ではなく、十分に事前に発見され、将来のバグを確保するために、コードの分析に焦点を当てたバグ報奨金プログラムのいくつかの並べ替えを開始する提案「 [ハードフォーク]前日権利 。」

Szilágyiは、EIPは ほぼ1年間 レビューの ために 利用可能で あったと述べ、 「もっと焦点を絞った目のためにいくつかの助成を行うことは悪い考えではないだろう」 と 付け加えた 。

Shutterstockを介したコード画像