Ethereumのハードフォークがセキュリティの脆弱性により遅延

Ethereumの予想されるConstantinopleのアップグレードは、提案された開発の1つに重大な脆弱性が見つかったため延期されたばかりです。この遅れは、セキュリティ監査会社ChainSecurityによって認識された、潜在的なセキュリティの脆弱性によるものであると報告されています。 Ethereumブログ

Ethereum Enhancement Proposal(EIP)1283が実行されると、攻撃者がコードを予約してユーザーの予約を取る可能性があります。それゆえ、Ethereum開発者はハードフォークを一時的に延期することに同意しました。

Ethereum Constantinople

以前に報告されたようにEthereumは、鉱山労働者への新しい$ ETHの発行が3 ETH /ブロックから2 ETH /ブロックに減少、または33%減少しました。それはConstantinopleハードフォークのコンポーネントとしてブロック7,080,000で発生します。

Constantinopleは、Ethereumの次のハードフォークシステムアップグレードの名前です。これはSerenityに向けたマルチステップコースのメンバーであり、Proof of Stakeなどの高度なルールを実行します。 2018年12月6日に、Ethereumコア開発者はConstantinopleを続行することを決定しました。これはブロック7,080,000で実現されます。通常のブロック時間は約14.5秒です。

この脆弱性は何ですか?

セキュリティ監査会社ChainSecurityは、Ethereumネットワーク用に期待されているConstantinopleアップグレードが、いくつかのSSTOREアクションに対してより安いガスコストを提供することを発見しました。望ましくない副作用として、これはSolidityスマートコントラクトでaddress.transfer(…)またはaddress.send(…)を適用するときの再入攻撃を可能にします。以前は、これらの機能はリエントラント対応と見なされていましたが、もはや機能しません。

このコードは安全なリポジトリ配布支援に似ています。 2社が同時に引当金を受け入れることができます。彼らはまたそれらを分け、それらが一致すれば支払いを受けることができるでしょう。侵入者は、プライマリアドレスが攻撃者の契約であり、次のアドレスが攻撃者のアカウントである場合にこのようなセットを形成します。このセットの場合、攻撃者はいくらかの現金を預けます。

言い換えれば、攻撃者は他の人のエーテルをPaymentSharerの契約から外すことが可能であり、そうすることができます。の ChainSecurityの公式ブログ 述べました

両当事者は共同で資金を受け取り、それらをどのように分割するかを決定し、同意すれば支払いを受けることができます。攻撃者は、最初のアドレスが以下にリストされている攻撃者の契約であり、2番目のアドレスが任意の攻撃者のアカウントであるものとペアを作成します。このペアの場合、攻撃者はいくらかのお金を預けます。

リエントラント攻撃とは何ですか?

外部契約を召喚することの大きな脅威の1つは、制御フローを取得し、呼び出し側関数が要求していなかったデータへの変更を実行できることです。この種のバグは多くのクラスを取ります。言い換えれば、リエントラント状態とは、攻撃者が任意の契約の機能を呼び出すことができ、場合によっては前の呼び出しが1回以上実行される前にその契約を再入力できることです。これは支払うべき機能の場合には特に有害でしょう。

金曜日に行われる別のEthereum開発者会議で新しいフォーク日が選択されます。フォークを遅らせるというこの決断を下したメンバーは、Ethereumの共同創設者Vitalik Buterin、開発者Hudson Jameson、Nick Johnson、およびEvan Van Ness、そしてParityリリースマネージャのAfri Schoedonでした。

アップグレードが延期されたのは今回が初めてではなく、以前は2018年11月に稼働するようにプログラムされていましたが、ネットワークのバグが原因でアイデアが妨げられました。 EthereumのConstantinopleのアップグレードも、2019年の後半に適用された余分な電力集中型の作業証明から、ステークの証明の合意アルゴリズムへの進歩の要素です。アップグレードにより、処理速度が向上し、ネットワークがデータウェアハウスを収益化する設計が強化され、採掘賞金が3から2に減少します。

セキュリティ会社はさらに、eveem.orgからアクセス可能なデータを利用したメインのEthereumブロックチェーンのスキャンでは弱いスマート契約は明らかにされていないと述べた。同社はethsecurity.orgのメンバーと協力して、まだ逆コンパイルされていないコンパクトなスマート契約にこのスキャンを開発しています。

ChainSecurityの記事によると、コンスタンティノープル以前は、ネットワーク上の貯蔵サービスは5,000のガスを消費し、「転送」または「送信」機能を使って契約を召喚するときに通常送られる2,300のガスを上回っていた。それにもかかわらず、アップグレードが実行された場合、「ダーティ」ストレージトランザクションは200ガスの費用がかかります。攻撃側の契約は、2300年のガス手当を適用して、脆弱な契約の変動要素を正常に管理することができます。

免責事項注:この情報は、暗号通貨の保証として解釈されるべきではありません。取引することはお勧めできません。暗号化市場には、驚きと過剰な資産があふれています。何かを買う前にあなたの研究をしなさい。失う余裕がある以上に投資しないでください。

フォローしてください Twitterフェイスブックスティミット、そして私たちの参加 電報 最新のブロックチェーンと暗号通貨のニュースのチャンネル。


プラサナ

著者

Prasannaは、取引から技術に至るまでの暗号通貨のあらゆるスラントが大好きなCryptocurrency / Blockchainの作家です。 Cryptocurrency / Blockchainは、人々が知っているように世界を変える道を進んでおり、Prasannaはそれが起こるにつれて革新的な革命を語るためにそこにいることを計画しています。

Leave a Reply