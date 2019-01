Karel Wolf

Ethereum fork na fázi Constantinople se opět odkládá, důvodem je bezpečnostní prověrka, na které se vedoucí vývojáři shodli po nahlášení kritické zranitelnosti.

Blockchainová společnost ChainSecurity, která se specializuje na hledání bezpečnostních děr ve smart kontraktech, zveřejnila v úterý zranitelnost v návrhu EIP (Ethereum Improvement Proposal) 1283, který je plánovanou součástí napjatě očekávané změny protokolu Etherea. Pokud by byl návrh implementován beze změny, umožnil by potenciálnímu útočníku díky funkční smyčce ukrást do smart kontraktu svěřené prostředky.

Hlavní vývojáři Etherea (včele s Vitalikem Buterinem, Hudsonem Jamesonem, Nickem Johnsonem a Evanem Van Ness) se po poradě s klíčovými vývojáři klientských aplikací (například Afri Schoedonem z Parity) a dalších projektů, které na síti běží, rozhodli dočasně odsunout překlopení sítě na novou nekompatibilní verzi protokolu až po opravě chyby a nové kontrole.

Nové datum znovu odloženého forku by mělo být rozhodnuto během nejbližšího dev callu, který je naplánován na pátek, fork samotný měl přitom nastat ve čtvrtek s blokem 7 080 000.

Zranitelnost, která se objevila jako důsledek snížení ceny za gas pro některé SSTORE operace, umožňovala útočníkovi dokola aktivovat stejnou funkci address.transfer, nebo address.send, aniž by musel uživatele, nebo kontrakt informovat o aktualizaci situace. Tímto způsobem bylo teoreticky možné donekonečna tunelovat svěřené fondy v kontraktu. Zajímavé je, že podobná zranitelnost se stala osudná i nechvalně známému pokusu o první decentralizovanou organizaci – DAO v roce 2016.