Un defect de securitate serios amână lansarea unei noi versiuni Ethereum
O actualizare importantă a monedei virtuale Ethereum a fost amânată după ce o companie de securitate a descoperit o vulnerabilitate care ar fi permis hackerilor să fure fondurile utilizatorilor.
Actualizarea Constantinople pentru Ethereum a fost întârziată după ce o vulnerabilitate critică a fost descoperită. Firma ChainSecurity a semnalat marțea trecută că Ethereum Improvement Proposal (EIP) 1283, dacă ar fi implementată, ar putea oferi atacatorilor o gaură în codul de programare care ar permite furtul fondurilor utilizatorilor. Dezvoltatorii care se ocupă de diverse aspecte ale acestei monede virtuale au fost de acord cu întârzierea lansării, cel puțin temporar, până la evaluarea problemei, scrie coindesk.com.
Noua actualizare era programată pe 17 ianuarie, iar dezvoltatorii proiectului au ajuns la concluzia că remedierea problemei ar dura prea mult, depășind data lansării.
Fiind un atac de Reentrancy, vulnerabilitatea permite atacatorului să reintre în aceeași funcție de mai multe ori fără a actualiza utilizatorul cu privire la ceea ce se întâmplă. Urmând acest scenariu, un atacator ar putea retrage fonduri permanent, a precizat Joanes Espanol, CTO a firmei de analiză blockchain Amberdata.
Actualizarea rețelei Ethereum, numită Constantinople Upgrade, a fost amânată, iar o nouă dată pentru lansarea sa va fi decisă vineri, pe 18 ianuarie, scrie zdnet.com.
Conform celor de la ChainSecurity, un atacator ar putea folosi atacul de tipul Reentrancy pentru a fura fonduri de la utilizatorii cu care a mai creat un contract smart înainte. Un contract smart este un script care folosește tehnologia blockchain a Ethereum pentru a permite utilizatorilor să facă diverse acțiuni precum introducerea de fonduri, primirea de monede virtuale în funcție de anumite condiții și punerea de fonduri împreună cu alți utilizatori.
Experții ChainSecurity au descoperit că modul de procesare ale contractelor smart de către Ethereum Constantinople Upgrade permitea atacatorilor să sustragă fonduri fără a îndeplini cerințele contractului sau fără ca utilizatorii să aprobe sau să știe despre aceste mutări de fonduri. Compania a spus că în prezent, vulnerabilitatea nu afectează și versiunea curentă a platformei Ethereum.
