Dlouze očekávaný upgrade blockchainu Ethereum Constantinople byl odložen z důvodu nově objevené slabiny v zabezpečení jedné z plánovaných změn.
Chybu včera ohlásila auditorská firma ChainSecurity zabývající se kontrolou bezpečnosti platforem pro smart kontrakty. Slabina byla objevena konkrétně v nadcházejícím návrhu EIP 1283, který by mohl v případě implementace hackerům umožnit vyprázdnění uživatelských fondů.
„Během telefonátu s námi bylo potvrzeno, že se komunita klientů i vývojářů shodla a Constantinople je z bezpečnostních důvodů odložen.“ Coindesk
Mezi hlavní účastníky rozhodovacího procesu patřil mimo jiné pochopitelně samotný Vitalik Buterin, ale i významní vývojáři jako Hudson Jameson, Nick Johsnon, Evan Van Ness nebo vedoucí vývojářské společnosti Parity, Afri Schoedon.
Mohlo by vás zajímat: Constantinople: Vše, co potřebujete vědět o Ethereum hard-forku
Kdy tedy Ethereum fork proběhne?
Během online diskuzí se vývojáři nejprve shodli na tom, že chybu v bezpečnosti kvůli její komplexnosti opravit před původním datem aktivace Constantinople (17. ledna 2019) nestihnou. Upgrade je tedy zkrátka odložen a na nové datum si budeme muset počkat.
Constantinople: Kde se stala chyba?
Útok, kterého by mohli být po implementaci EIPu 1283 hackeři schopni, by se dal nazvat „opakovaným vstupem“ neboli „reentrancy“. Během tohoto scénáře útočník opakovaně vstupuje do již proběhlých procesů a je mimo jiné schopen například donekonečna vybírat Eth.
Tato slabina by teoreticky mohla vést k útokům podobným nechvalně známému útoku DAO z roku 2016.
ChainSecurity ve svém prohlášení dále zmiňuje, že ještě před implementací Constantinople upgradu vyžadovaly operace na úložišti Ethereum 5 000 jednotek gas namísto obvyklých 2 300 využívaných pro operace typů „transfer“ nebo „send“.
Nicméně, pokud by byl upgrade aktivován v momentálním zranitelném stavu, útočníci by byli „schopni vykonávat špinavé kontrakty na úložištích jen za 200 jednotek gas, avšak zároveň využít předchozích 2 300 jednotek za účelem manipulace variabilních prvků kontraktu.“
Původně měl být Constantinople aktivován již minulý rok. Odložení však proběhlo i během října minulého roku, kdy byly objeveny chyby během testování na síti Ropsten testnet.
Zdroj:
www.coindesk.com
Ups ….. jen otázka na kohokoli zvládl by ethereum bit torent? Nevím ptám se. Prosím o vysvětlení.
To záleží v jaké implementaci. Pokud vám jde o srovnání TRON a ETH, pak vás ujišťuji, že TRON je asi 100x rychlejší.
Toto je ve skutečnosti velmi pozitivní zpráva. Constantinopole bude skvělý update. Chyby by mít však neměl. 😉