Долгожданное обновление Эфириума Константинополь снова отложено из-за обнаружения критической уязвимости в одном из запланированных обновлений.
The Constantinople fork is being delayed due to a security vulnerability discovered by @chain_security in the SSTORE changes.
Updates to Geth and Parity will be coming very soon and it’s vitally important to make sure you update if you run a node.
— Eric Conner (@econoar) January 15, 2019
Во вторник вечером компания-аудитор смарт-контрактов ChainSecurity сообщила, что в случае реализации Ethereum Improvement Proposal (EIP) 1283 злоумышленники получат лазейку в коде для кражи средств пользователей. Разработчики Эфириума согласились отложить хардфорк, пока не решат проблему.
Это решение принял учредитель проекта Виталик Бутерин, разработчики Хадсон Джеймсон, Ник Джонсон, Эван Ван Несс, а также менеджер Parity Афри Шоедон.
Обсуждая обнаруженную проблему в онлайне, разработчики пришли к выводу, что исправление ошибки займет слишком много времени, она не будет устранена до намеченного срока хардфорка, который должен был состояться 17 января около 04:00 UTC.
«Эта уязвимость, называемая повторной атакой, позволяет злоумышленнику повторно использовать одну и ту же функцию несколько раз. Мошенники могут «выводить средства» без ведома пользователя.
Представьте, что в моем контракте есть функция, которая выполняет вызов другого контракта… Если я хакер и могу активировать функцию в момент выполнения предыдущей функции, это позволит мне вывести средства», — сказал Джоан Эспанол, технический директор компании Blockchain..
Эта уязвимость похожа на ту, что была использована в печально известной атаке DAO 2016 года. Поскольку риски крайне высокие, новый срок обновления не обозначается.
Подписывайтесь на наш канал в: Telegram, Vk, Twitter.
Оставить комментарий