IPFS
TRON

Ethereum выпускает новое программное обеспечение в связи с задержкой Hard Fork

Ethereum, включая Go-Ethereum (Geth) и Parity, выпустили обновления программного обеспечения после ранее принятого решения отложить запланированное общесистемное обновление, получившее название Constantinople.

Обновление было отложено во вторник, это произошло после того, как фирма Chain Security, занимающаяся аудитом блокчейнов, обнаружила уязвимость в безопасности в Ethereum Improvement Proposal (EIP) 1283, одном из запланированных изменений, включенных в Константинополь. В случае использования эта ошибка позволила бы проводить «повторные атаки», позволяя злоумышленникам многократно выводить средства из одного и того же источника.

Новый блок активации для обновления будет решен уже на этой неделе.

Чтобы не допустить возникновения разветвления - учитывая, что некоторые программные клиенты в сети уже были обновлены до разветвления - разработчики основных реализаций ethereum перешли к публикации новых версий.

Geth выпустил экстренное исправление (версия 1.8.21), предназначенное для отсрочки обновления , хотя разработчик Петер Силаджи отметил, что пользователи, которые не хотят переходить на новую версию клиента, могут также понизить версию своих существующих клиентов до версии 1.8.19 или продолжить запуск текущей версии (1.8.20) с переопределением.

Клиенты четности могут аналогичным образом либо обновить свои существующие клиенты до версии 2.2.7 (стабильная версия) или 2.3.0 (бета-версия), либо иным образом перейти на версию 2.2.4 (бета-версия).

Четность технология глава безопасности Кирилл Пименов, выступая в Эфириуме разработчики ядра поболтать на GITTER , сказал он рекомендовал пользователь обновить до новой версии, а не понизить до более старой версии, объясняя:

«Я хочу повторить: понижение Parity до доконстантинопольских версий - плохая идея, мы никому не рекомендуем это делать. Теоретически это должно сработать, но мы не хотим иметь дело с этим беспорядком».

Точно так же менеджер релизов Parity Афри Шоедон сказал, что он рекомендует 2.2.7, хотя два других также должны работать. 

В своем блоге разработчик ядра Хадсон Джеймсон написал, что любому, кто не запускает узел или иным образом не участвует в сети, не нужно ничего делать.

Владельцам смарт контрактов тоже не нужно ничего делать, хотя «вы можете выбрать анализ потенциальной уязвимости и проверить свои контракты», - написал он.

Однако он указал, что изменение, которое может привести к потенциальной проблеме, не будет включено.

Реентент-атаки

До сих пор в реальных контрактах не было обнаружено никаких случаев уязвимости. Тем не менее, Джеймсон отметил, что «все еще существует ненулевой риск того, что некоторые контракты могут быть затронуты».

Чтобы переводы на ethereum могли избежать атак с повторным входом, платится небольшое количество эфира, называемого газом, которое не позволяет злоумышленникам повторно использовать перевод для кражи средств.

Однако, как объяснил Хьюберт Рицдорф - человек, который обнаружил уязвимость и технический директор по безопасности цепей - «побочный эффект» EIP 1283 гарантирует, что злоумышленники могут использовать это небольшое количество газа для злонамеренных целей.

«Разница в том, что раньше вы не могли сделать что-то вредоносное с этим небольшим количеством газа, вы могли сделать что-то полезное, но не что-то вредоносное, и теперь, потому что некоторые операции стали дешевле, теперь вы можете сделать что-то вредоносное с этим небольшим количеством газа », - сказал Рицдорф.

И хотя вопрос повторного входа всегда стоит перед умными разработчиками контрактов, которые пишут код в Solidity на ethereum, Матиас Эгли, главный операционный директор Chain Security, объяснил, что разработчики ядра, строго следящие за механикой виртуальной машины, не могли легко заметить эту уязвимость. ,

«Solidity, это не ядро ​​виртуальной машины ethereum, которое на практике допустило эту атаку. Это было частью этого разногласия, что на практике небольшие изменения в стоимости газа позволят новые виды атак, которые раньше не рассматривались ».

 На момент публикации разработчики связываются с биржами, кошельками, майнинг-пулами и другими группами, которые используют или взаимодействуют с сетью ethereum.

Главные новости дня читайте в нашем Telegram канале!