EthereumのConstantinopleアップグレードがセキュリティ脆弱性による遅延に直面
Ethereumの待望のConstantinopleのアップグレードは、計画された変更のうちの1つで重大な脆弱性が発見された直後に遅れています。
スマートな契約監査会社ChainSecurityは火曜日 、Ethereum Improvement Proposal(EIP)1283が実装されていると、攻撃者にコードの抜け穴を与えてユーザー資金を盗むことができると警告した。電話で話すと、ethereumの開発者は、クライアントの開発者やネットワークを運営している他のプロジェクトの開発者と同様に、問題を評価している間は(少なくとも一時的には)ハードフォークを遅らせることに同意した。
参加者には、他にも、ethereum作成者のVitalik Buterin、開発者のHudson Jameson、Nick JohnsonとEvan Van Ness、そしてParityリリースマネージャのAfri Schoedonが含まれました。金曜日に別のethereum開発者呼び出しの間に新しいフォーク日が決定されます。
この脆弱性をオンラインで議論したところ、プロジェクトの中心的な開発者は1月17日のUTC 04:00頃に実行されると予想されていたハードフォークより前にバグを修正するには時間がかかりすぎるという結論に達しました。
リエントラント攻撃と呼ばれるこの脆弱性により、攻撃者は本質的に、問題の状況についてユーザーを更新することなく同じ機能を複数回「再入力」することができます。このシナリオでは、攻撃者は本質的に「永久に資金を引き出す」可能性があると、前のCoinDeskとのインタビューでブロックチェーン分析会社AmberdataのCTO、Joanes Espanol氏は述べています。
彼が説明しました:
「私の契約に別の契約を呼び出す機能があると想像してみてください。私がハッカーで、前の機能がまだ実行されている間に機能を起動できる場合、資金を引き出すことができるかもしれません。」
これは 、現在悪名高いDAOの2016年の攻撃に見られる脆弱性の1つに似ています。
ChainSecurityの投稿では、Constantinopleより前は、ネットワーク上での貯蔵作業には5,000台のガスが必要となり、「転送」または「送信」機能を使って契約を呼び出すときに通常送られる2,300ガスを超えていた。
ただし、アップグレードが実施された場合、「ダーティ」なストレージ操作には200ガスがかかります。 「攻撃者の契約は、2300年のガス代金を使って脆弱な契約の変数をうまく操作することができます。」
コンスタンティノープルは、昨年アクティブ化することが以前は期待されていましたが、 Ropstenテストネットでアップグレードを開始している間に問題が見つかった後に遅れました。
ShutterstockによるEthereumイメージ