Das lang erwartete Update von Ethereum wurde erneut verschoben, nachdem in einer der geplanten Änderungen eine kritische Sicherheitslücke entdeckt worden war. Davon schreibt CoinDesk.
Am Dienstag erklärte das Unternehmen SmartSecurity, eine Prüfung von Smart Contracts, dass der Vorschlag zur Verbesserung von Ethereum EIP 1283, falls er implementiert würde, einen Angriffsvektor eröffnen könnte, der es den Benutzern ermöglichen würde, Geld zu stehlen. Während der Telefonkonferenz einigten sich die Entwickler des Protokolls und anderer Projekte im Ökosystem Ethereum darauf, die Aktivierung der Hardfork für die Dauer der Untersuchung des Problems zu verschieben. Ein neues Update-Datum wird am Freitag angekündigt.
An der Diskussion nahmen der Gründer von Ethereum Vitalik Buterin, die Entwickler Hudson Jameson, Nick Johnson, Afri Shedon und andere teil. Sie kamen zum Schluss, dass die Erstellung eines Fixes zu viel Zeit in Anspruch nehmen würde. Daher wäre es unangemessen, es bis zum 17. Januar implementieren, wenn eine Aktualisierung hätte erfolgen sollen.
Die Sicherheitsanfälligkeit ist mit dem sogenannten Wiedereintrittsangriff verbunden und ermöglicht es einem Angreifer, dieselbe Funktion mehrmals auszuführen, ohne dem Benutzer Informationen darüber zu übergeben, wodurch man die Assets unendlich oft von seiner Wallet abheben kann.
„Stellen Sie sich vor, in meinem Vertrag gibt es eine Funktion, die auf einen anderen Vertrag zugreift. Wenn ich ein Angreifer bin und eine Funktion aufrufen kann, während die vorherige Funktion fortgesetzt wird, kann ich Geld abheben“, sagte Joan Espanol, technischer Direktor der Blockchain-Analysefirma Amberdata.
Eine ähnliche Sicherheitslücke wurde während des berüchtigten DAO-Hackings im Jahr 2016 entdeckt.
Wie ChainSecurity in ihrem Blog berichtete, kosteten Online-Speichervorgänge vor der Hartfork Constantinople 5.000 Gas-Einheiten, was die 2.300 Einheiten überschreitet, die normalerweise für das Aufrufen der Funktionen „Übertragen“ und „Senden“ erforderlich sind. In der aktualisierten Version desselben "schmutzigen" Operationen der Speicherung werden 200 Gas-Einheiten kosten. "Der Angreifer kann 2.300 Gaseinheiten verwenden, um die Variablen von Smart Contracts erfolgreich zu manipulieren", fügte die Firma hinzu.
Beachten Sie, dass das Update von Constantinople letztes Jahr stattfinden sollte, aber aufgrund von Problemen verschoben wurde, als es im Ropsten-Test-Netzwerk aktiviert wurde.
Quelle: www.facebook.com/der.bitcoin
www.coindesk.com/ethereums-constantinople-upgrade-faces-delay-due-to-security vulnerability?fbclid=IwAR1u0pp6eHMfD2JNaudQp0zXehO24cK5o5WpcJjtrnWEBiIAuV8B6uZ8E00