The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]



"Ethereum отложил обновление платформы из-за выявления критич..."
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Ethereum отложил обновление платформы из-за выявления критич..."  +/
Сообщение от opennews (??), 16-Янв-19, 14:20 
Разработчики криптовалюты Ethereum  отложили (https://blog.ethereum.org/2019/01/15/security-alert-ethereum.../) на неопределённый срок запланированный на 17 января технический форк блокчейна, необходимый для обновления версии платформы ("Constantinople"). Решение принято в связи с выявлением (https://medium.com/chainsecurity/constantinople-enables-new-...) критической уязвимости в реализации умных контрактов, позволяющей похитить средства.


Выявившие проблему исследователи утверждают, что проблема специфична для ветки "Constantinople", которая ещё не введена в строй.  Чтобы отложить планировавшийся форк блокчейна администраторам узлов, майнерам и биржам рекомендуется срочно обновить Geth (https://github.com/ethereum/go-ethereum) до выпуска 1.8.21 (https://github.com/ethereum/go-ethereum/releases/tag/v1.8.21), откатиться на версию 1.8.19 или запускать приложение с опцией "--override.constantinople=9999999". При использовании клиента Parity (https://www.parity.io/ethereum/) необходимо обновить программу до версии 2.2.7-stable/2.3.0-beta или откатиться на выпуск  2.2.4-beta. Обычным пользователям криптокошельков, не участвующим в формировании сети и обслуживающим узлы обновлять приложения не обязательно.


Владельцам умных контрактов рекомендуется проверить свои контракты на предмет подверженности уязвимости. Проблема вызвана снижением  стоимости внутренних транзаций ("газ") для операций SSTORE, предложенным в спецификации  EIP-1283 (https://github.com/ethereum/EIPs/blob/master/EIPS/eip-1283.md). Из-за данного изменения после обновления платформы до ветки "Constantinople" некоторые уже существующие умные контракты станут подвержены атаке на реентерабельность (re-entrancy, состояние контракта может измениться в процессе его выполнения в условиях когда  новое обращение к контракту возможно до завершения обработки предыдущего).


В ходе аудита изменения блокчейна после форка "Constantinople" исследователи безопасности пришли к выводу, что вероятность проведения re-entrancy атаки полностью не исключается для некоторых видов контрактов,  в которых перед операторами изменения состояния  используются функции transfer() и send(). Например, проблема может затрагивать контракты, в которых несколько участников совместно получают средства, решают как разделить полученные средства и инициируют выплату этих средств.

В случае успешной атаки злоумышленник может похитить средства у пользователей, заключивших с ним умный контракт, в обход условий контракта и без получения согласия пользователя. До введения в строй ветки "Constantinople" контракты не подвержены уязвимости, т.е. пользователям Ethereum ничего не угрожает. Анализ существующих умных контрактов пока не выявил экземпляров, которые могли бы использоваться для совершения подобных атак.

URL: https://blog.ethereum.org/2019/01/15/security-alert-ethereum.../
Новость: https://www.opennet.ru/opennews/art.shtml?num=49963

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Ethereum отложил обновление платформы из-за выявления критич..."  +4 +/
Сообщение от Аноним (-), 16-Янв-19, 14:20 
2050. Обновление Constantinople отложено на неопределенный срок.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

21. "Ethereum отложил обновление платформы из-за выявления критич..."  +/
Сообщение от Legion (??), 22-Янв-19, 00:52 
и здесь константинополь намахал с томосом? :)
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

2. "Ethereum отложил обновление платформы из-за выявления критич..."  –1 +/
Сообщение от Аноним (2), 16-Янв-19, 15:19 
Что они там говорят? Код -- это закон?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

5. "Ethereum отложил обновление платформы из-за выявления критич..."  +1 +/
Сообщение от Crazy Alex (ok), 16-Янв-19, 16:03 
не у эфира, ещё с форка Classic это было понятно. Впрочем, в данном случае не особо криминально -  апдейт тормознули до его запуска.
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

8. "Ethereum отложил обновление платформы из-за выявления критич..."  +1 +/
Сообщение от Аноним (-), 16-Янв-19, 17:51 
Это в классике. Тут слабый code is law. Сильного code is law нет в блокчейнах.
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

11. "Ethereum отложил обновление платформы из-за выявления критич..."  +/
Сообщение от Аноним (11), 16-Янв-19, 19:50 
Да, и закон может меняться решением большинства (не в смысле количества человек, а в смысле владения ресурсами, иначе была бы возможна атака Сивиллы). Если большинство обновляется, принимая новые условия (форк), то новый код становится новым законом. Не знаю, случалось ли такое с Эфириумом, но с другими блокчейнами случалось, что пользователи массово не обновлялись из-за несогласия с новыми правилами и форк не производился, разработчикам приходилось отказываться от изменений и искать компромисс. Если же несогласно меньшинство, то оно все равно может продолжить  использовать старые правила, поддерживая свою ветку (например, так получился Эфириум Классик).
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

3. "Ethereum отложил обновление платформы из-за выявления критич..."  +4 +/
Сообщение от Аноним (3), 16-Янв-19, 15:20 
Не прокатило - вычёркиваем.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

4. "Ethereum отложил обновление платформы из-за выявления критич..."  –1 +/
Сообщение от Аноним (4), 16-Янв-19, 15:46 
Кто-то не хочет терять доход с асиков :)
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

6. "Ethereum отложил обновление платформы из-за выявления критич..."  +/
Сообщение от Crazy Alex (ok), 16-Янв-19, 16:04 
Вот поэтому всякое "умное" (и, соответственно, сложное) надо по возможности держать где-нибудь вне основного блокчейна.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

7. "Ethereum отложил обновление платформы из-за выявления критич..."  +1 +/
Сообщение от Попугай Кеша (?), 16-Янв-19, 16:21 
Что нам эти горе-провидцы говорили? Наступило будущее? Кушайте, не обляпайтесь теперь.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

10. "Ethereum отложил обновление платформы из-за выявления критич..."  +/
Сообщение от Аноним (10), 16-Янв-19, 19:35 
>снижением стоимости внутренних транзаций ("газ") для операций SSTORE, предложенным в спецификации EIP-1283. Из-за данного изменения после обновления платформы до ветки "Constantinople" некоторые уже существующие умные контракты станут подвержены атаке на реентерабельность

Как-то неочевидно. Попахивает бекдором, неожиданно заюзанным не теми, для кого предназначался.

>Что они там говорят?

Политиканы много говорят, а потом много слов берут назад.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

12. "Ethereum отложил обновление платформы из-за выявления критич..."  +/
Сообщение от Crazy Alex (ok), 16-Янв-19, 20:07 
Не, попахивает высокой сложностью и человеческим несовершенством. Хотя, конечно, вопрос только в том, когда именно эфир об это побьётся всерьёз.
Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

13. "Ethereum отложил обновление платформы из-за выявления критич..."  +/
Сообщение от Аноним (13), 17-Янв-19, 00:37 
Не берут, а просто действуют так, будто этих слов не говорили.
Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

14. "Ethereum отложил обновление платформы из-за выявления критич..."  –1 +/
Сообщение от ПДК (?), 17-Янв-19, 12:21 
Когда уже эти блокчейн пузыри начнут лопаться? Как деньги они всё равно никуда не годятся.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

15. "Ethereum отложил обновление платформы из-за выявления критич..."  +/
Сообщение от Аноним (3), 17-Янв-19, 14:21 
2-го апреля.
Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

16. "Ethereum отложил обновление платформы из-за выявления критич..."  +1 +/
Сообщение от Аноним (16), 17-Янв-19, 16:16 
Не годятся, а всё не лопаются и не лопаются, странно, да?
Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

18. "Ethereum отложил обновление платформы из-за выявления критич..."  +3 +/
Сообщение от ПДК (?), 17-Янв-19, 18:49 
Ещё есть на свете дураки...
Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

20. "Ethereum отложил обновление платформы из-за выявления критич..."  +/
Сообщение от Dmitry77 (ok), 18-Янв-19, 13:33 
Кстати да, странно что "твердая валюта" типа DAI/MKR не особо в хду. Все хотят заработать :)
Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

17. "Ethereum отложил обновление платформы из-за выявления критич..."  +2 +/
Сообщение от fedfed (ok), 17-Янв-19, 17:09 
Судя по виталику и то с какай одержимостью его педалировали — оно всё есть уязвимость и ошибка природы.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

19. "Ethereum отложил обновление платформы из-за выявления критич..."  +/
Сообщение от Аноним (19), 17-Янв-19, 21:24 
Ethereum отложил личинку
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру