Die Ethereum-Kernentwickler und die Ethereum-Sicherheitsgemeinschaft wurden auf die potenziellen Konstantinopelprobleme aufmerksam gemacht Chainsecurity Am 15. Januar 2019. Wir untersuchen potenzielle Schwachstellen und werden mit Aktualisierungen in diesem Blog -Beitrag und über Social -Media -Kanäle hinweg folgen.
Aus großer Vorsicht haben wichtige Stakeholder in der Ethereum -Community festgestellt, dass die beste Vorgehensweise darin besteht, die geplante Konstantinopelgabel zu verzögern, die am 16. Januar 2019 bei Block 7.080.000 aufgetreten wäre.
Dies erfordert, dass jeder, der einen Knoten (Knotenbetreiber, Börsen, Bergarbeiter, Brieftaschendienste usw.) ausführt, vor Block 7.080.000 auf eine neue Version von Geth oder Parität aktualisiert wird. Block 7.080.000 werden in ca. 32 Stunden ab dem Zeitpunkt dieses Verlags oder am 16. Januar, 20.00 Uhr PT / 16. Januar, 23:00 Uhr ET / 17. Januar, 4:00 Uhr GMT auftreten.
Was Sie tun müssen
Wenn Sie eine Person sind, die einfach mit Ethereum interagiert (Sie führen keinen Knoten aus), Sie müssen nichts tun.
Bergleute, Börsen, Knotenbetreiber:
-
Aktualisieren Sie Ihre Geth- und/oder Parity -Instanzen, wenn sie veröffentlicht werden.
-
Diese Veröffentlichungen werden noch nicht veröffentlicht. Wir werden diesen Beitrag aktualisieren, wenn sie verfügbar sind.
-
Links und Versionsnummern und -anweisungen werden hier gegeben, wenn sie verfügbar sind.
-
Wir erwarten, dass wir die Veröffentlichungen in 3-4 Stunden ab dem Zeitpunkt dieses Blogs aktualisiert haben.
Geth
-
Upgrade auf 1.8.21 ODER
-
Herabstufung auf Geth 1.8.19ODER
-
Bleiben Sie auf 1.8.20, verwenden Sie jedoch den Switch ‘-override.Constantinople = 9999999’, um die Konstantinopelgabel auf unbestimmte Zeit zu verschieben.
Parität
Alle anderen:
Ledger, Trezor, Safe-T, Parity Signer, Walleth, Papierbrieftaschen, MyCrypto, Myetherwallet und andere Benutzer oder Token-Inhaber, die nicht am Netzwerk teilnehmen, indem sie einen Knoten synchronisieren und ausführen.
- Sie müssen nichts tun.
Vertragsbesitzer
-
Sie müssen nichts tun.
-
Sie können die Analyse der potenziellen Sicherheitsanfälligkeit untersuchen und Ihre Verträge überprüfen.
-
Sie müssen jedoch nichts tun, da die Änderung, die diese potenzielle Sicherheitsanfälligkeit einführen würde, nicht aktiviert wird.
Hintergrund
Der Artikel von Chainsecurity taucht tief in die potenzielle Sicherheitsanfälligkeit ein und wie intelligente Verträge auf die Verwundbarkeit überprüft werden können. Sehr kurz:
-
EIP-1283 führt günstigere Gaskosten für den SSTORE -Betrieb ein
-
Einige intelligente Verträge (die sich bereits in der Kette befinden) können Codemuster verwenden, die sie nach dem Aufrüsten von Konstantinopeln für einen Wiedereinsatzanschlag anfällig machen würden
-
Diese intelligenten Verträge wären vor dem Konstantinopel -Upgrade nicht verletzlich gewesen
Verträge, die ihre Wahrscheinlichkeit erhöhen, verletzlich zu sein, sind Verträge, die eine Übertragung () oder send () -Funktion verwenden, gefolgt von einem staatlich ändernden Betrieb. Ein Beispiel für einen solchen Vertrag wäre eines, bei dem zwei Parteien gemeinsam Geld erhalten, sich für die Spaltung dieser Mittel entscheiden und eine Auszahlung dieser Mittel einleiten.
Wie war die Entscheidung, die Konstantinopelgabel zu verschieben
Sicherheitsforscher wie Chainsecurity und Trailofbits Ran (und läuft noch) Analysen in der gesamten Blockchain. Sie fanden in freier Wildbahn keine Fälle dieser Verwundbarkeit. Es besteht jedoch immer noch ein Risiko außerhalb Null, dass einige Verträge betroffen sein könnten.
Da das Risiko ungleich Null ist und die Zeit, die erforderlich ist, um das Risiko mit Vertrauen zu ermitteln, länger ist die Zeit, die vor dem geplanten Konstantinopel-Upgrade verfügbar ist, wurde die Entscheidung getroffen, die Gabel aus einer Menge Vorsicht zu verschieben.
Parteien, die an den Diskussionen beteiligt waren, waren jedoch nicht beschränkt auf:
Ansprechzeit
3:09 Uhr pt
- Chainsecurity verantwortungsbewusst potenziell Anfälligkeit über die Bug Bounty -Programm der Ethereum Foundation von Ethereum Foundation
8:09 Uhr pt
- Die Ethereum Foundation bittet die Chainecurity, öffentlich offenzulegen
8:11 Uhr pt
- Der ursprüngliche Artikel von Chainsecurity wird veröffentlicht
8:52 Uhr pt
8:52 Uhr Pt – 10:15 Uhr Pt
- Die Diskussion erfolgt über verschiedene Kanäle hinsichtlich potenzieller Risiken, der Analyse der Kette und den Maßnahmen, die unternommen werden müssen
10:15 Uhr Pt – 12:40 Pt
- Diskussion über Zoom Audio -Anruf mit wichtigen Stakeholdern. Die Diskussion wird auch in Gitter und anderen Kanälen fortgesetzt
12:08 Uhr pt
- Entscheidung getroffen, um Konstantinopel -Upgrade zu verzögern
13:30 Uhr pt
- Öffentlicher Blog -Beitrag in verschiedenen Kanälen und sozialen Medien veröffentlicht
Dieser Artikel wurde in einer gemeinsamen Anstrengung von Evanvaness, Infura, Mykrypto, Parität, Status, der Ethereum Foundation und den Ethereum Cat Hirten zusammengestellt.
