Разработчики криптовалюты Ethereum отложили (https://blog.ethereum.org/2019/01/15/security-alert-ethereum.../) на неопределённый срок запланированный на 17 января технический форк блокчейна, необходимый для обновления версии платформы ("Constantinople"). Решение принято в связи с выявлением (https://medium.com/chainsecurity/constantinople-enables-new-...) критической уязвимости в реализации умных контрактов, позволяющей похитить средства.
Выявившие проблему исследователи утверждают, что проблема специфична для ветки "Constantinople", которая ещё не введена в строй. Чтобы отложить планировавшийся форк блокчейна администраторам узлов, майнерам и биржам рекомендуется срочно обновить Geth (https://github.com/ethereum/go-ethereum) до выпуска 1.8.21 (https://github.com/ethereum/go-ethereum/releases/tag/v1.8.21), откатиться на версию 1.8.19 или запускать приложение с опцией "--override.constantinople=9999999". При использовании клиента Parity (https://www.parity.io/ethereum/) необходимо обновить программу до версии 2.2.7-stable/2.3.0-beta или откатиться на выпуск 2.2.4-beta. Обычным пользователям криптокошельков, не участвующим в формировании сети и обслуживающим узлы обновлять приложения не обязательно.
Владельцам умных контрактов рекомендуется проверить свои контракты на предмет подверженности уязвимости. Проблема вызвана снижением стоимости внутренних транзаций ("газ") для операций SSTORE, предложенным в спецификации EIP-1283 (https://github.com/ethereum/EIPs/blob/master/EIPS/eip-1283.md). Из-за данного изменения после обновления платформы до ветки "Constantinople" некоторые уже существующие умные контракты станут подвержены атаке на реентерабельность (re-entrancy, состояние контракта может измениться в процессе его выполнения в условиях когда новое обращение к контракту возможно до завершения обработки предыдущего).
В ходе аудита изменения блокчейна после форка "Constantinople" исследователи безопасности пришли к выводу, что вероятность проведения re-entrancy атаки полностью не исключается для некоторых видов контрактов, в которых перед операторами изменения состояния используются функции transfer() и send(). Например, проблема может затрагивать контракты, в которых несколько участников совместно получают средства, решают как разделить полученные средства и инициируют выплату этих средств.В случае успешной атаки злоумышленник может похитить средства у пользователей, заключивших с ним умный контракт, в обход условий контракта и без получения согласия пользователя. До введения в строй ветки "Constantinople" контракты не подвержены уязвимости, т.е. пользователям Ethereum ничего не угрожает. Анализ существующих умных контрактов пока не выявил экземпляров, которые могли бы использоваться для совершения подобных атак.
URL: https://blog.ethereum.org/2019/01/15/security-alert-ethereum.../
Новость: https://www.opennet.ru/opennews/art.shtml?num=49963
2050. Обновление Constantinople отложено на неопределенный срок.
и здесь константинополь намахал с томосом? :)
Что они там говорят? Код -- это закон?
не у эфира, ещё с форка Classic это было понятно. Впрочем, в данном случае не особо криминально - апдейт тормознули до его запуска.
Это в классике. Тут слабый code is law. Сильного code is law нет в блокчейнах.
Да, и закон может меняться решением большинства (не в смысле количества человек, а в смысле владения ресурсами, иначе была бы возможна атака Сивиллы). Если большинство обновляется, принимая новые условия (форк), то новый код становится новым законом. Не знаю, случалось ли такое с Эфириумом, но с другими блокчейнами случалось, что пользователи массово не обновлялись из-за несогласия с новыми правилами и форк не производился, разработчикам приходилось отказываться от изменений и искать компромисс. Если же несогласно меньшинство, то оно все равно может продолжить использовать старые правила, поддерживая свою ветку (например, так получился Эфириум Классик).
Не прокатило - вычёркиваем.
Кто-то не хочет терять доход с асиков :)
Вот поэтому всякое "умное" (и, соответственно, сложное) надо по возможности держать где-нибудь вне основного блокчейна.
Что нам эти горе-провидцы говорили? Наступило будущее? Кушайте, не обляпайтесь теперь.
>снижением стоимости внутренних транзаций ("газ") для операций SSTORE, предложенным в спецификации EIP-1283. Из-за данного изменения после обновления платформы до ветки "Constantinople" некоторые уже существующие умные контракты станут подвержены атаке на реентерабельностьКак-то неочевидно. Попахивает бекдором, неожиданно заюзанным не теми, для кого предназначался.
>Что они там говорят?
Политиканы много говорят, а потом много слов берут назад.
Не, попахивает высокой сложностью и человеческим несовершенством. Хотя, конечно, вопрос только в том, когда именно эфир об это побьётся всерьёз.
Не берут, а просто действуют так, будто этих слов не говорили.
Когда уже эти блокчейн пузыри начнут лопаться? Как деньги они всё равно никуда не годятся.
2-го апреля.
Не годятся, а всё не лопаются и не лопаются, странно, да?
Ещё есть на свете дураки...
Кстати да, странно что "твердая валюта" типа DAI/MKR не особо в хду. Все хотят заработать :)
Судя по виталику и то с какай одержимостью его педалировали — оно всё есть уязвимость и ошибка природы.
Ethereum отложил личинку