在其中一项计划的变更中发现了一个严重的漏洞后,以太坊即将到来的君士坦丁堡升级宣布推迟。
智能合约审计公司ChainSecurity周二表示,如果实施以太坊改进提案(EIP)1283,可能会为攻击者提供窃取用户资金的代码漏洞。在电话会议上,以太坊开发商以及客户和其他运营网络项目的开发商同意在评估问题后暂时推迟硬分叉 。
参与者包括以太坊创造者Vitalik Buterin,开发人员Hudson Jameson,Nick Johnson和Evan Van Ness,以及Parity发布经理Afri Schoedon等。本周星期五会再次举行以太坊开发者电话会议,到时将决定新的分叉日期。
在线讨论漏洞,该项目的核心开发人员得出的结论是,在硬分叉之前修复漏洞需要很长时间,预计将在1月17日04:00左右执行。
这个漏洞被称为可重入攻击,它实质上允许攻击者多次“重新进入”同一个函数,而无需更新用户的状态。在这种情况下,攻击者基本上可以“永远撤回资金”,区块链分析公司Amberdata的首席技术官Joanes Espanol在之前的采访中表示。
“想象一下,我的合同有一个函数可以调用另一个合同。。.。。.如果我是一个黑客,我能够在前一个功能仍在执行的情况下触发功能,我可以提取资金。”
这类似于现在臭名昭着的2016年DAO攻击中发现的漏洞之一。
ChainSecurity的帖子解释说,在君士坦丁堡之前,网络上的存储操作将耗费5,000gas(手续费),超过通常在使用“转移”或“发送”功能调用合同时发送的2,300gas。
但是,如果实施升级,存储操作将耗费200个gas。“攻击者合同可以使用2300gas成功操纵弱势合约的变量。”
之前预计君士坦丁堡将在去年启动,但在Ropsten测试网上启动升级后发现问题后推迟。
以太坊后面的路究竟要怎么走,它能否保住现在的地位亦或是被EOS等其他公链取而代之,我们无从得知,至少目前这次升级来看还需努力,我们还将持续跟踪报道以太坊升级的最新情况!
在其中一项计划的变更中发现了一个严重的漏洞后,以太坊即将到来的君士坦丁堡升级宣布推迟。
智能合约审计公司ChainSecurity周二表示,如果实施以太坊改进提案(EIP)1283,可能会为攻击者提供窃取用户资金的代码漏洞。在电话会议上,以太坊开发商以及客户和其他运营网络项目的开发商同意在评估问题后暂时推迟硬分叉 。
参与者包括以太坊创造者Vitalik Buterin,开发人员Hudson Jameson,Nick Johnson和Evan Van Ness,以及Parity发布经理Afri Schoedon等。本周星期五会再次举行以太坊开发者电话会议,到时将决定新的分叉日期。
在线讨论漏洞,该项目的核心开发人员得出的结论是,在硬分叉之前修复漏洞需要很长时间,预计将在1月17日04:00左右执行。
这个漏洞被称为可重入攻击,它实质上允许攻击者多次“重新进入”同一个函数,而无需更新用户的状态。在这种情况下,攻击者基本上可以“永远撤回资金”,区块链分析公司Amberdata的首席技术官Joanes Espanol在之前的采访中表示。
“想象一下,我的合同有一个函数可以调用另一个合同。。.。。.如果我是一个黑客,我能够在前一个功能仍在执行的情况下触发功能,我可以提取资金。”
这类似于现在臭名昭着的2016年DAO攻击中发现的漏洞之一。
ChainSecurity的帖子解释说,在君士坦丁堡之前,网络上的存储操作将耗费5,000gas(手续费),超过通常在使用“转移”或“发送”功能调用合同时发送的2,300gas。
但是,如果实施升级,存储操作将耗费200个gas。“攻击者合同可以使用2300gas成功操纵弱势合约的变量。”
之前预计君士坦丁堡将在去年启动,但在Ropsten测试网上启动升级后发现问题后推迟。
以太坊后面的路究竟要怎么走,它能否保住现在的地位亦或是被EOS等其他公链取而代之,我们无从得知,至少目前这次升级来看还需努力,我们还将持续跟踪报道以太坊升级的最新情况!
举报
