ارتقای قسطنطنیه اتریوم به دلیل مشکلات امنیتی دوباره به تعویق افتاد
آپگرید از پیش برنامه ریزی شده ی قسطنطنیه اتریوم پس از کشف یک مشکل حساس در یکی از برنامه های تغییر یافته، به تعویق افتاد.
آپگرید از پیش برنامه ریزی شده ی قسطنطنیه اتریوم پس از کشف یک مشکل حساس در یکی از برنامه های تغییر یافته، به تعویق افتاد.
حسابرس قرارداد هوشمند شرکت ChainSecurity سه شنبه اعلام کرد که در صورت پیاده سازی Ethereum Improvement Proposal (EIP) 1283، مهاجمان می توانند روزنه ای برای دزدی از حساب کاربران در کد پیدا کنند.
راهنمای مطالعه نمایشبیشتر بخوانید: مقاومت فعلی بیت کوین نقطه ای کلیدی برای صعودی شدن بازار است
طی یک تماس تلفنی، توسعه دهندگان اتریوم و دیگر اعضای پروژه توافق کردند که انشعاب سخت – حداقل مواقتا و تا زمانیکه به آن رسیدگی کنند – به تعویق بیفتد. Vitalik Buterin سازنده ی اتریوم، Hudson Jameson، Nick Johnson و Evan Van Ness توسعه دهندگان اتریوم و Afri Schoedon مدیر انتشارات Parity نیز در این جلسه حضور داشتند. تاریخ جدید انشعاب اتریوم روز جمعه اعلام خواهد شد.
درمورد بحث آسیب پذیری آنلاین، تیم اصلی توسعه دهندگان به این نتیجه رسیدند که زمان زیادی برای رفع باگ قبل از انشعاب سخت که قرار بود روز ۱۷ ژانویه حوالی ساعت ۴:۰۰ UTC انجام شود، لازم است.
حمله ی ورود مکرر (reentrancy attack)، آسیبی ست که به مهاجم اجازه می دهد بدون اینکه کاربر درمورد وضعیت مطلع شود، بارها از تابع چندگانه ی مشابهی برای ورود مجدد به حساب کاربر استفاده کند. به گفته ی Joanes Espanol، مدیر اجرایی شرکت آنالیز بلاک چین Amberdata، تحت این سناریو، یک مهاجم می تواند «برای همیشه از حساب کاربران پول برداشت کند».
وی توضیح داد:
«تصور کنید که قرارداد من تابعی برای ارتیاط با قرارداد دیگران دارد و اگر من یک هکر باشم و بتوانم تابع را در حالی که تابع قبلی در حال اجراست به اجرا در بیاورم، ممکن است بتوانم پول برداشت کنم».
این مشکل مشابه آسیب کشف شده در حمله DAO در سال ۲۰۱۶ است. ChainSecurity در پستی توضیح داده که پیش از قسطنطنیه، عملیات ذخیره در شبکه ۵۰۰۰ gas هزینه به همراه دارد که بیش از ۲۳۰۰ gas برای «ارسال» یا «انتقال» قرارداد خرج می شود.
بیشتر بخوانید: انشعاب سخت اتریوم در اواسط ژانویه سال پیش رو اجرایی می شود
اگر آپگرید قسطنطنیه اجرا شود عملیات ذخیره سازی ۲۰۰ gas هزینه بر میدارد و مهاجم می تواند ۲۳۰۰ gas را برای دستکاری قرارداد استفاده نماید.
پیش از این قرار بود قسطنطنیه در سال گذشته فعال شود اما به خاطر مشکلی در راه اندازی آپگرید در شبکه ی تستی Ropsten، به تعویق افتاد.
توجه!
مطالب صرفا برای اهداف خبری و آموزشی ارائه می شوند و نباید به عنوان مشاوره ی تجاری از طرف کوین ایران و نویسندگانش مورد استفاده قرار گیرند.