Upgrade Konstantinopel yang telah lama ditunggu-tunggu Ethereum baru saja ditunda setelah kerentanan kritis ditemukan dalam salah satu perubahan yang direncanakan.
Firma audit kontrak cerdas ChainSecurity menandai Selasa bahwa Ethereum Improvement Proposal (EIP) 1283, jika diimplementasikan, dapat memberikan penyerang celah dalam kode untuk mencuri dana pengguna. Berbicara melalui telepon, pengembang ethereum, serta pengembang klien dan proyek lain yang menjalankan jaringan, setuju untuk menunda garpu keras - setidaknya untuk sementara - sementara mereka menilai masalah tersebut.
Peserta termasuk pencipta ethereum Vitalik Buterin, pengembang Hudson Jameson, Nick Johnson dan Evan Van Ness, dan manajer rilis Parity Afri Schoedon, antara lain. Tanggal garpu baru akan diputuskan selama panggilan ethereum dev lainnya pada hari Jumat.
Membahas kerentanan online, pengembang inti proyek mencapai kesimpulan bahwa akan butuh waktu terlalu lama untuk memperbaiki bug sebelum hard fork, yang diperkirakan akan dilaksanakan sekitar pukul 04:00 UTC pada 17 Januari.
Disebut serangan reentrancy, kerentanan pada dasarnya memungkinkan penyerang untuk "masuk kembali" fungsi yang sama beberapa kali tanpa memperbarui pengguna tentang keadaan. Di bawah skenario ini, seorang penyerang pada dasarnya bisa "menarik dana selamanya," kata Joanes Espanol, CTO perusahaan analitik blockchain Amberdata dalam wawancara sebelumnya dengan CoinDesk.
Dia menjelaskan:
"Bayangkan bahwa kontrak saya memiliki fungsi yang membuat panggilan ke kontrak lain ... Jika saya seorang hacker dan saya dapat memicu fungsi sementara fungsi sebelumnya masih berjalan, saya mungkin dapat menarik dana."
Ini mirip dengan salah satu kerentanan yang ditemukan dalam serangan DAO yang sekarang terkenal di tahun 2016.
Posting ChainSecurity menjelaskan bahwa sebelum ke Konstantinopel, operasi penyimpanan pada jaringan akan menelan biaya 5.000 gas, melebihi 2.300 gas yang biasanya dikirim ketika memanggil kontrak menggunakan fungsi "transfer" atau "kirim".
Namun, jika upgrade diimplementasikan, operasi penyimpanan "kotor" akan menelan biaya 200 gas. "Kontrak penyerang dapat menggunakan tunjangan gas 2300 untuk memanipulasi variabel kontrak rentan berhasil."
Konstantinopel sebelumnya diharapkan untuk mengaktifkan tahun lalu, tetapi ditunda setelah masalah ditemukan saat meluncurkan peningkatan pada testnet Ropsten.
coindesk - BPI @bpiinf
https://t.me/bpiinf