Sledujte nás aj na

Dlhoočakávaný upgrade Ethereum siete s názvom Constantinople bol opäť odvolaný. Stalo sa tak už druhýkrát. Tentokrát je na vine kritická chyba, ktorá bola našťastie včas odhalená.

Dôležitosť auditov pre smart kontrakty

Audítorská firma ChainSecurity, ktorá sa zameriava na testovanie a revíziu smart kontraktov potvrdila, že návrh na zlepšenie siete Ethereum – EIP 1283 (Ethereum Improvement Proposal), ak by bol implementovaný, mohol by útočníkom poskytnúť relatívne jednoduchý spôsob na ukradnutie prostriedkov používateľov. Vývojári spoločnosti Ethereum, ako aj vývojári klientských softvérov a ostatné projekty prevádzkujúce ETH sieť už súhlasili s oneskorením hard forku, prinajmenšom dočasne. Zhodli sa počas urgentného online meetingu. Celý problém musia dôkladne preveriť a zhodnotiť.

Účastníkmi meetingu boli okrem iného aj tvorca Etherea Vitalik Buterin, vývojári Hudson Jameson, Nick Johnson a Evan Van Ness ako aj release manažér firmy Parity Afri Schoedon. Nový dátum forku bude pravdepodobne určený v priebehu ďalšej schôdzky vývojárskeho tímu v piatok.

Diskutujúc o zraniteľnosti, hlavní vývojári projektu dospeli k záveru, že by trvalo príliš dlho opraviť túto chybu. Keďže fork sa mal odohrať 17. januára približne o 5:00 ráno, čas na opravu chyby už vývojári nemali.

O akú chybu sa vlastne jedná?

Tento útok nazvaný “reentrancy attack” (útok znovupreniknutím) v podstate umožňuje útočníkovi „opakovať“ tú istú funkciu viackrát bez toho, aby informoval používateľa alebo inú časť kódu o stave vykonávania. Podľa tohto scenára by mohol útočník v podstate „vyberať finančné prostriedky donekonečna“, povedal Joanes Espanol, technický riaditeľ blockchainovej analytickej firmy Amberdata.

Vysvetlil:

„Predstavte si, že v mojom kontrakte je funkcia, ktorá volá iný kontrakt. Ak som hacker a môžem spustiť funkciu, kým sa predchádzajúca funkcia stále vykonáva, mohol by som si ukoristiť spracovávané finančné prostriedky.“

Chyba pripomína jedno zo zraniteľných miest, ktoré boli zneužité pri neslávnom DAO útoku na Ethereum sieť v roku 2016. Je možné sa preto domnievať, že odhalenie takejto závažnej chyby až po nasadení Constantinople do ostrej prevádzky by mohlo mať pre Ethereum fatálne následky.

Ethereum: 1.časť – história, DAO, Ethereum classic

Otázkou je, či náhodou nie sú už podobne zraniteľné kontrakty na Ethereum mainnete nasadené.

— Analýza dostupných údajov v službe eveem.org zatiaľ neodhalila zraniteľné smart kontraktov na hlavnej ETH sieti.

Rovnako ak držíte svoje ETH na hardvérových peňaženkách ako Ledger alebo Trezor, nemusíte sa ničoho obávať. Nie ste v spojitosti s touto chybou vystavený žiadnemu riziku.

Technickejší pohľad na problém

Príspevok spoločnosti ChainSecurity vysvetlil, že pred Constantinople hard forkom by storage operácie (ukladacie operácie) v sieti stáli 5,000 gas, čo by značne presahovalo 2,300 gas, ktoré sa zvyčajne vyberajú za prevedenie kontraktu pomocou funkcií „transfer“ alebo „send“.

Ak by však upgrade prebehol, tieto ukladacie operácie by stáli len 200 gas. Kontrakt útočníka by tak mohol použiť tieto poplatky (2,300 gas) na úspešnú manipuláciu premennej alebo premenných v zraniteľnom smart kontrakte.

Oficiálne vyjadrenie spoločnosti Ethereum nájdete v tweete:

Ďalšie odloženie Constantinople

Aktualizácia siete Constantinople mala byť spustená už minulý rok v novembri. Nestalo sa tak po odhalení problémov pri spustení aktualizácie na testovacej sieti Ropsten.

Hard fork siete Ethereum — Constantinople bol odložený na začiatok roka 2019

Zdroj: coindesk.com



Zaujímate sa o dianie okolo kryptomien a chceli by ste sa podieľať na tvorbe obsahu KryptoPortalu? Kontaktujte nás pomocou kontaktného formulára!

Páčia sa Vám naše články a príspevky?
Podporte nás a prispejte tak k rozvoju Vášho obľúbeného informačného média. Ďakujeme!

ETH: 

0xa3B90C2d50B79Eaf466Ca3f2080fD15E0764c5A3

BTC:
15wVejhngqJbGrYhu9fF9ydKaNYSSHwWJd

loading...