以太坊

以太坊君士坦丁堡硬分叉升级相关的潜在安全问题延迟升级

single-image

以太坊核心开发者和以太坊安全社区注意到了由ChainSecurity于2019年1月15日发现的与君士坦丁堡硬分叉升级相关的潜在安全问题。我们正在调查所有潜在的漏洞,并将在这篇博客文章和各媒体渠道进行更新。

出于极大的谨慎立场,以太坊社区的主要利益相关者决定,最好的做法是推迟原定于在区块高度7080,000(大约2019年1月16日)实施的君士坦丁堡硬分叉升级。

这将要求所有运行节点的人(节点运营商、交易所、矿工、钱包服务等等)在区块高度7080,000之前更新到Geth或Parity客户端的新版本。区块高度7080,000将在本文发布后的大约32小时内达到,也就是大约美国太平洋时间1月16日晚上8点,或美国东部时间1月16日11点,或格林尼治时间1月17日凌晨4点。

你需要做什么

如果您只是与以太坊交互(不运行节点),你无需做任何事。

矿工、交易所和节点运营商:

当Geth和/或Parity客户端发布新版本之后(现已发布),进行更新。

Geth客户端

  • 更新到版本1.8.21
  • 降级到版本1.8.19
  • 仍旧使用版本1.8.20,但使用‘–override.constantinople=9999999’开关推迟君士坦丁堡分叉。

Parity客户端

其他人

Ledger, Trezor, Safe-T, Parity Signer, WallEth, Paper Wallets, MyCrypto, MyEtherWallet 等钱包用户,以及其他没有通过同步和运行节点参与网络的用户或代币持有者:

  • 无需做任何事

以太坊合约所有者:

  • 无需做任何事
  • 您可以选择检查潜在漏洞的分析并检查您的合约。
  • 但是,您不需要做任何事情,因为引入此潜在漏洞的更改将不会被启用。

事件背景

这次漏洞的发现者ChainSecurity发布的文章中深入挖掘潜在的漏洞,以及如何检查智能合约的漏洞。简单地说:

“EIP-1283为SSTORE操作引入了更便宜的gas成本。一些智能合约(已经在链上了)可能会利用这种代码模式,这会使它们在君士坦丁堡升级之后容易遭受一种重入攻击。只要不进行君士坦丁堡升级,这些智能合约就不会不堪一击。”

在状态更改操作之后使用transfer()或send()函数的合约增加了它们易受攻击的可能性,例如,在一种合约中,当交易双方共同接收资金,决定如何分割这些资金,并开始支付这些资金时,就容易遭受攻击。

推迟君士坦丁堡分叉的决定是如何做出的

安全研究人员,像ChainSecurity和TrailOfBits,对整个区块链进行(目前仍在进行)分析。虽然他们在自然环境下没有发现任何这种漏洞的情况。然而,仍存在一些合约可能受到影响的非零风险。

由于风险是非零的,而且确定风险所需的时间比计划中的君士坦丁堡升级之前的可用时间要长,因此出于极大的谨慎,决定推迟这次分叉。

参与讨论的各方包括但不限于:

  • 安全研究人员
  • 以太坊利益相关者
  • 以太坊客户端开发者
  • 智能合约所有者/ 开发者
  • 钱包提供商
  • 节点运营商
  • dapp开发者
  • 媒体

You may also like

post-image
加密货币

ChainLink 晋升加密货币市值前十

ChainLink凭借其发行的通证LINK跻身进入了全球加密货币排名前十,并继续在加密货币市场中取得了巨大的增长。与市场上的大多数加密货币一样,其稳定在4美元附近的上升增长经过长时间的停顿之后,ChainLink最近恢复了市场的上涨趋势,并超过了市场上某些加密货币资产。 自7月初以来,LINK一直...
post-image
区块链

BNC主网全民挖矿3月19号全球上线

BNC全民挖矿于3月19号全球上线,中国,马来西亚,泰国,越南,柬埔寨,印尼,新加坡,菲律宾,文莱9个国家以及30个社区全球同步启动,引起行业内强烈关注!特别是行业内对于POC价值重视及全民挖矿生态体系的建设,让BNC在欧美及东南亚网站论坛上受到热力追捧,上百家国内为媒体争先报道。同时,随着POC...
post-image
区块链

自2019年熊市以来,比特币首次出现罕见买入信号?

尽管加密货币市场一如既往的动荡,但数据持续涌入,暗示价格将很快反弹。一位分析师现在提供了证据,表明比特币已经跌入了过去十一年来从未发生过的价值区域。 如果正确的话,现在存在一个短暂的窗口期,使比特币价格处于明显的折扣中。 分析师 Philip Swift 创建了一个图表,用于分析当前市值以及特定比...