本会动态

文章详情页
必发888:以太坊君士坦丁堡升级因“可重入”漏洞延期_4
发布时间:2019-05-18 14:39:45来源:泛亚娱乐-泛亚娱乐app-泛亚娱乐官网点击:248

  据Coindesk 1月16日报道,今天(1月16日)凌晨,以太坊君士坦丁堡代码突然爆出“可重入”漏洞,该漏洞可以用来攻击相关合约修改用户余额或其他关键变量。这也意味着,用户期待已久的君士坦丁堡升级计划将被推迟。

  

  智能合约审计公司ChainSecurity表示 ,如果实施以太坊改进提案(EIP)1283,可能会为攻击者提供窃取用户资金的代码漏洞。

  随后,Ethereum的开发人员、客户端开发人员以及运行该网络的其他项目的开发人员在电话中表示,他们同意在评估该问题期间推迟硬分支,至少是暂时推迟。

  与会者包括Ethereum的创建者Vitalik Buterin、开发人员Hudson Jameson、Nick Johnson和Evan Van Ness,以及Parity发布经理Afri Schoedon等。新的分叉日期将在周五的另一个Ethereum开发会议上决定。

  在讨论这个漏洞时,该项目的核心开发人员得出的结论是,在硬分叉之前修复漏洞需要很长时间,预计将在1月17日04:00左右执行。

  区块链分析公司Amberdata的首席技术官Joanes Espanol表示,这种漏洞称为可重放攻击,本质上允许攻击者多次“重新输入”相同的数据,而无需更新用户状态。在这种情况下,攻击者基本上可以“无限次的撤回资金”。

必发888

  他解释道:“想象一下,我有个智能合约可以用另一个智能合约替代。如果我是一个黑客,我就能够在前一个合约进行时,触发该功能,这样我就能一直提取资金。”这类似于2016年臭名昭著的DAO攻击中发现的漏洞之一。

  PeckShield安全人员初步分析发现,在分叉之前一个存储操作至少需要5000gas,这个是远超缺省转账激励的2300gas。但分叉后一个存储只需200gas,这个造成了现有合约再处理转帐时候,如调用了攻击者合约必发888,可以用来修改调用者合约的内部变量,其中可能包括账号余额等。


必发888 必发365 必发888