The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Ethereum отложил обновление платформы из-за выявления критической уязвимости

16.01.2019 14:03

Разработчики криптовалюты Ethereum отложили на неопределённый срок запланированный на 17 января технический форк блокчейна, необходимый для обновления версии платформы ("Constantinople"). Решение принято в связи с выявлением критической уязвимости в реализации умных контрактов, позволяющей похитить средства.

Выявившие проблему исследователи утверждают, что проблема специфична для ветки "Constantinople", которая ещё не введена в строй. Чтобы отложить планировавшийся форк блокчейна администраторам узлов, майнерам и биржам рекомендуется срочно обновить Geth до выпуска 1.8.21, откатиться на версию 1.8.19 или запускать приложение с опцией "--override.constantinople=9999999". При использовании клиента Parity необходимо обновить программу до версии 2.2.7-stable/2.3.0-beta или откатиться на выпуск 2.2.4-beta. Обычным пользователям криптокошельков, не участвующим в формировании сети и обслуживающим узлы обновлять приложения не обязательно.

Владельцам умных контрактов рекомендуется проверить свои контракты на предмет подверженности уязвимости. Проблема вызвана снижением стоимости внутренних транзакций ("газ") для операций SSTORE, предложенным в спецификации EIP-1283. Из-за данного изменения после обновления платформы до ветки "Constantinople" некоторые уже существующие умные контракты станут подвержены атаке на реентерабельность (re-entrancy, состояние контракта может измениться в процессе его выполнения в условиях когда новое обращение к контракту возможно до завершения обработки предыдущего).

В ходе аудита изменения блокчейна после форка "Constantinople" исследователи безопасности пришли к выводу, что вероятность проведения re-entrancy атаки полностью не исключается для некоторых видов контрактов, в которых перед операторами изменения состояния используются методы transfer() и send(). Например, проблема может затрагивать контракты, в которых несколько участников совместно получают средства, решают как разделить полученные средства и инициируют выплату этих средств.

В случае успешной атаки злоумышленник может похитить средства у пользователей, заключивших с ним умный контракт, в обход условий контракта и без получения согласия пользователя. До введения в строй ветки "Constantinople" контракты не подвержены уязвимости, т.е. пользователям Ethereum ничего не угрожает. Анализ существующих умных контрактов пока не выявил экземпляров, которые могли бы использоваться для совершения подобных атак.

  1. Главная ссылка к новости (https://blog.ethereum.org/2019...)
  2. OpenNews: В результате двойной траты средств в Ethereum Classic похищен 1.1 млн долларов
  3. OpenNews: Выявлена лёгкая в реализации атака на P2P-сеть криптовалюты Ethereum
  4. OpenNews: Критическая уязвимость в Bitcoin Core
  5. OpenNews: Криптовалюта Bitcoin Gold подверглась атаке по двойной трате средств
  6. OpenNews: Linux Foundation представил платформу Hyperledger Sawtooth 1.0 на базе технологий блокчейн
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: ethereum, coin, bitcoin
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (20) Ajax | 1 уровень | Линейный | Раскрыть всё | RSS
  • 1.1, Аноним (-), 14:20, 16/01/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +4 +/
    2050. Обновление Constantinople отложено на неопределенный срок.
     
     
  • 2.21, Legion (??), 00:52, 22/01/2019 [^] [^^] [^^^] [ответить]  
  • +/
    и здесь константинополь намахал с томосом? :)
     

  • 1.2, Аноним (2), 15:19, 16/01/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Что они там говорят? Код -- это закон?
     
     
  • 2.5, Crazy Alex (ok), 16:03, 16/01/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    не у эфира, ещё с форка Classic это было понятно. Впрочем, в данном случае не особо криминально -  апдейт тормознули до его запуска.
     
  • 2.8, Аноним (-), 17:51, 16/01/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Это в классике. Тут слабый code is law. Сильного code is law нет в блокчейнах.
     
  • 2.11, Аноним (11), 19:50, 16/01/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Да, и закон может меняться решением большинства (не в смысле количества человек, а в смысле владения ресурсами, иначе была бы возможна атака Сивиллы). Если большинство обновляется, принимая новые условия (форк), то новый код становится новым законом. Не знаю, случалось ли такое с Эфириумом, но с другими блокчейнами случалось, что пользователи массово не обновлялись из-за несогласия с новыми правилами и форк не производился, разработчикам приходилось отказываться от изменений и искать компромисс. Если же несогласно меньшинство, то оно все равно может продолжить  использовать старые правила, поддерживая свою ветку (например, так получился Эфириум Классик).
     

  • 1.3, Аноним (3), 15:20, 16/01/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +4 +/
    Не прокатило - вычёркиваем.
     
  • 1.4, Аноним (4), 15:46, 16/01/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Кто-то не хочет терять доход с асиков :)
     
  • 1.6, Crazy Alex (ok), 16:04, 16/01/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Вот поэтому всякое "умное" (и, соответственно, сложное) надо по возможности держать где-нибудь вне основного блокчейна.
     
  • 1.7, Попугай Кеша (?), 16:21, 16/01/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Что нам эти горе-провидцы говорили? Наступило будущее? Кушайте, не обляпайтесь теперь.
     
  • 1.10, Аноним (10), 19:35, 16/01/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    >снижением стоимости внутренних транзаций ("газ") для операций SSTORE, предложенным в спецификации EIP-1283. Из-за данного изменения после обновления платформы до ветки "Constantinople" некоторые уже существующие умные контракты станут подвержены атаке на реентерабельность

    Как-то неочевидно. Попахивает бекдором, неожиданно заюзанным не теми, для кого предназначался.

    >Что они там говорят?

    Политиканы много говорят, а потом много слов берут назад.

     
     
  • 2.12, Crazy Alex (ok), 20:07, 16/01/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Не, попахивает высокой сложностью и человеческим несовершенством. Хотя, конечно, вопрос только в том, когда именно эфир об это побьётся всерьёз.
     
  • 2.13, Аноним (13), 00:37, 17/01/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Не берут, а просто действуют так, будто этих слов не говорили.
     

  • 1.14, ПДК (?), 12:21, 17/01/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Когда уже эти блокчейн пузыри начнут лопаться? Как деньги они всё равно никуда не годятся.
     
     
  • 2.15, Аноним (3), 14:21, 17/01/2019 [^] [^^] [^^^] [ответить]  
  • +/
    2-го апреля.
     
  • 2.16, Аноним (16), 16:16, 17/01/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Не годятся, а всё не лопаются и не лопаются, странно, да?
     
     
  • 3.18, ПДК (?), 18:49, 17/01/2019 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Ещё есть на свете дураки...
     
  • 2.20, Dmitry77 (ok), 13:33, 18/01/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Кстати да, странно что "твердая валюта" типа DAI/MKR не особо в хду. Все хотят заработать :)
     

  • 1.17, fedfed (ok), 17:09, 17/01/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Судя по виталику и то с какай одержимостью его педалировали — оно всё есть уязвимость и ошибка природы.
     
  • 1.19, Аноним (19), 21:24, 17/01/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Ethereum отложил личинку
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    Слёрм
    Inferno Solutions
    Hosting by Ihor
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2019 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру