点击上方
“蓝色字”
可关注我们!
作者:Christine Kim , Nikhilesh De 翻译:Miranda
以太坊的Constantinople升级面临延迟,因在其中一项变更中发现了一个严重的漏洞。
智能合约审计公司ChainSecurity周二表示,如果实施以太坊改进提案(EIP)1283,可能会为攻击者提供窃取用户资金的代码漏洞。在电话会议上,以太坊开发商以及客户开发商,和其他运营网络项目的开发商同意在评估问题时暂时推迟硬分叉。
参与者包括以太坊创造者Vitalik Buterin,开发人员Hudson Jameson,Nick Johnson和Evan Van Ness,以及Parity发布经理Afri Schoedon等。周五,将在以太坊电话会议期间将决定新的分叉日期。
在讨论漏洞的问题时,项目的核心开发人员得出的结论是,在硬分叉之前修复漏洞需要很长时间,预计将在1月17日04:00左右执行。
这个漏洞被称为可重入攻击,实质上可以允许攻击者多次“重新进入”同一个函数,而无需更新用户的事务状态。在这种情况下,攻击者基本上可以“永远撤回资金”,区块链分析公司Amberdata的首席技术官Joanes Espanol在之前的CoinDesk采访中表示。
他解释说:
“想象一下,合约中有一个函数可以调用另一个合同......如果我是一个黑客,我能够在前一个功能仍在执行的情况下触发功能,提取资金。”
这就类似于臭名昭著的2016年DAO攻击中发现的漏洞之一。
ChainSecurity的帖子解释说,在Constantinople之前,网络上的存储操作将耗费5,000 gas,超过通常的“转移”或“发送”功能调用合同时发送的2,300 gas。
但是,如果实施升级,“不干净的”存储操作将耗费200 gas。“攻击合同可以使用2300 gas津贴成功操纵弱势合约的变量。”
之前预计Constantinople将在2018年启动,但在Ropsten测试网上启动升级后发现问题后推迟。
本文仅代表作者个人观点,不代表区块链铅笔的立场,不构成投资建议,内容仅供参考。
3分钟了解什么是区块链?(中文动画)|(英文动画教程)
3分钟了解比特币挖矿和区块链共识机制?(中文动画)|(英文动画教程)
关注本公众号后,进入公众号
回复关键词可以查阅资料,以下是部分关键词
回复 WEF ,查看《WEF:世界经济论坛认为区块链是互联网金融行业的未来报告》
回复 智能合约 ,查看《巴克莱银行报告》
回复 moody ,查看《穆迪120个区块链项目报告》
回复 SWIFT ,查看SWIFT《区块链对证券交易全流程产生的影响及潜力》报告
回复 论文11 ,查看论文《可扩展的去中心区块链》
回复 埃森哲2 ,查看埃森哲《区块链每年可以为投资银行节省120亿美元》报告
回复 联合国报告 ,查看联合国报告《数字货币和区块链技术在构建社会和可信金融之间扮演的角色》
回复 用户特性 ,查看普林斯顿大学首本比特币教科书初稿《比特币用户的特性(Characteristics of Bitcoin Users)》
回复 普林斯顿 ,查看普林斯顿大学首本比特币教科书初稿《比特币和数字货币技术(Bitcoin and Cryptocurrency Technologies)》
回复 IMF,查看国际货币基金组织报告《Virtual Currencies and Beyond: Initial Considerations》
回复 DTCC ,查看美国存管信托清算公司报告《DTCC: 拥抱分布式》
回复 广发 ,查看报告《科技前沿报告:区块链:正快速走进公众和政策视野》
回复 川财1 ,查看报告《川财证券:区块链技术调研报告之一:具有颠覆所有行业的可能性》
回复 川财2 ,查看报告《川财证券:区块链技术调研报告之二:区块链技术进化论-区块链技术的国内实践和展望》
回复 桑坦德 ,查看桑坦德银行报告《The Fintech 2.0 Paper: rebooting financial services》
回复 拜占庭 ,查看《拜占庭将军问题详解》
回复 论文1 ,查看论文《比特币闪电网络:可扩展的离线即时支付》
回复 论文2 ,查看论文《比特币骨干协议》
回复 论文3 ,查看论文《数字货币是否应该进入Barbados央行国际储备货币组合中》
回复 帮助 ,查看本公众号全部关键词列表
扫一扫
1429
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
