The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

16.01.2019 14:03  Ethereum отложил обновление платформы из-за выявления критической уязвимости

Разработчики криптовалюты Ethereum отложили на неопределённый срок запланированный на 17 января технический форк блокчейна, необходимый для обновления версии платформы ("Constantinople"). Решение принято в связи с выявлением критической уязвимости в реализации умных контрактов, позволяющей похитить средства.

Выявившие проблему исследователи утверждают, что проблема специфична для ветки "Constantinople", которая ещё не введена в строй. Чтобы отложить планировавшийся форк блокчейна администраторам узлов, майнерам и биржам рекомендуется срочно обновить Geth до выпуска 1.8.21, откатиться на версию 1.8.19 или запускать приложение с опцией "--override.constantinople=9999999". При использовании клиента Parity необходимо обновить программу до версии 2.2.7-stable/2.3.0-beta или откатиться на выпуск 2.2.4-beta. Обычным пользователям криптокошельков, не участвующим в формировании сети и обслуживающим узлы обновлять приложения не обязательно.

Владельцам умных контрактов рекомендуется проверить свои контракты на предмет подверженности уязвимости. Проблема вызвана снижением стоимости внутренних транзакций ("газ") для операций SSTORE, предложенным в спецификации EIP-1283. Из-за данного изменения после обновления платформы до ветки "Constantinople" некоторые уже существующие умные контракты станут подвержены атаке на реентерабельность (re-entrancy, состояние контракта может измениться в процессе его выполнения в условиях когда новое обращение к контракту возможно до завершения обработки предыдущего).

В ходе аудита изменения блокчейна после форка "Constantinople" исследователи безопасности пришли к выводу, что вероятность проведения re-entrancy атаки полностью не исключается для некоторых видов контрактов, в которых перед операторами изменения состояния используются методы transfer() и send(). Например, проблема может затрагивать контракты, в которых несколько участников совместно получают средства, решают как разделить полученные средства и инициируют выплату этих средств.

В случае успешной атаки злоумышленник может похитить средства у пользователей, заключивших с ним умный контракт, в обход условий контракта и без получения согласия пользователя. До введения в строй ветки "Constantinople" контракты не подвержены уязвимости, т.е. пользователям Ethereum ничего не угрожает. Анализ существующих умных контрактов пока не выявил экземпляров, которые могли бы использоваться для совершения подобных атак.

  1. Главная ссылка к новости (https://blog.ethereum.org/2019...)
  2. OpenNews: В результате двойной траты средств в Ethereum Classic похищен 1.1 млн долларов
  3. OpenNews: Выявлена лёгкая в реализации атака на P2P-сеть криптовалюты Ethereum
  4. OpenNews: Критическая уязвимость в Bitcoin Core
  5. OpenNews: Криптовалюта Bitcoin Gold подверглась атаке по двойной трате средств
  6. OpenNews: Linux Foundation представил платформу Hyperledger Sawtooth 1.0 на базе технологий блокчейн
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: ethereum, coin, bitcoin
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Ajax/Линейный | Раскрыть все сообщения | RSS
 
  • 1.1, Аноним (-), 14:20, 16/01/2019 [ответить] [показать ветку] [···]    [к модератору]
  • +4 +/
    2050. Обновление Constantinople отложено на неопределенный срок.
     
     
  • 2.21, Legion (??), 00:52, 22/01/2019 [^] [ответить]    [к модератору]
  • +/
    и здесь константинополь намахал с томосом? :)
     
  • 1.2, Аноним (2), 15:19, 16/01/2019 [ответить] [показать ветку] [···]    [к модератору]
  • –1 +/
    Что они там говорят? Код -- это закон?
     
     
  • 2.5, Crazy Alex (ok), 16:03, 16/01/2019 [^] [ответить]    [к модератору]
  • +1 +/
    не у эфира, ещё с форка Classic это было понятно. Впрочем, в данном случае не особо криминально -  апдейт тормознули до его запуска.
     
  • 2.8, Аноним (-), 17:51, 16/01/2019 [^] [ответить]    [к модератору]
  • +1 +/
    Это в классике. Тут слабый code is law. Сильного code is law нет в блокчейнах.
     
  • 2.11, Аноним (11), 19:50, 16/01/2019 [^] [ответить]     [к модератору]  
  • +/
    Да, и закон может меняться решением большинства не в смысле количества человек,... весь текст скрыт [показать]
     
  • 1.3, Аноним (3), 15:20, 16/01/2019 [ответить] [показать ветку] [···]    [к модератору]  
  • +4 +/
    Не прокатило - вычёркиваем.
     
  • 1.4, Аноним (4), 15:46, 16/01/2019 [ответить] [показать ветку] [···]    [к модератору]  
  • –1 +/
    Кто-то не хочет терять доход с асиков :)
     
  • 1.6, Crazy Alex (ok), 16:04, 16/01/2019 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Вот поэтому всякое "умное" (и, соответственно, сложное) надо по возможности держать где-нибудь вне основного блокчейна.
     
  • 1.7, Попугай Кеша (?), 16:21, 16/01/2019 [ответить] [показать ветку] [···]    [к модератору]  
  • +1 +/
    Что нам эти горе-провидцы говорили? Наступило будущее? Кушайте, не обляпайтесь теперь.
     
  • 1.10, Аноним (10), 19:35, 16/01/2019 [ответить] [показать ветку] [···]     [к модератору]  
  • +/
    Как-то неочевидно Попахивает бекдором, неожиданно заюзанным не теми, для кого п... весь текст скрыт [показать]
     
     
  • 2.12, Crazy Alex (ok), 20:07, 16/01/2019 [^] [ответить]    [к модератору]  
  • +/
    Не, попахивает высокой сложностью и человеческим несовершенством. Хотя, конечно, вопрос только в том, когда именно эфир об это побьётся всерьёз.
     
  • 2.13, Аноним (13), 00:37, 17/01/2019 [^] [ответить]    [к модератору]  
  • +/
    Не берут, а просто действуют так, будто этих слов не говорили.
     
  • 1.14, ПДК (?), 12:21, 17/01/2019 [ответить] [показать ветку] [···]    [к модератору]  
  • –1 +/
    Когда уже эти блокчейн пузыри начнут лопаться? Как деньги они всё равно никуда не годятся.
     
     
  • 2.15, Аноним (3), 14:21, 17/01/2019 [^] [ответить]    [к модератору]  
  • +/
    2-го апреля.
     
  • 2.16, Аноним (16), 16:16, 17/01/2019 [^] [ответить]    [к модератору]  
  • +1 +/
    Не годятся, а всё не лопаются и не лопаются, странно, да?
     
     
  • 3.18, ПДК (?), 18:49, 17/01/2019 [^] [ответить]    [к модератору]  
  • +3 +/
    Ещё есть на свете дураки...
     
  • 2.20, Dmitry77 (ok), 13:33, 18/01/2019 [^] [ответить]    [к модератору]  
  • +/
    Кстати да, странно что "твердая валюта" типа DAI/MKR не особо в хду. Все хотят заработать :)
     
  • 1.17, fedfed (ok), 17:09, 17/01/2019 [ответить] [показать ветку] [···]    [к модератору]  
  • +2 +/
    Судя по виталику и то с какай одержимостью его педалировали — оно всё есть уязвимость и ошибка природы.
     
  • 1.19, Аноним (19), 21:24, 17/01/2019 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Ethereum отложил личинку
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2019 by Maxim Chirkov  
    ДобавитьПоддержатьВебмастеруГИД  
    Hosting by Ihor