安全警告:以太坊君士坦丁堡推迟
来源: 头等仓 时间: 2019-01-16 00:00:00
摘要: 以太坊核心开发人员和以太坊安全社区了解了ChainSecurity在2019年1月15日发现的与君士坦丁堡相关的潜在问题。我们正在调查任何潜在的漏洞,并将持续关注该事件的发生。

image.png


以太坊核心开发人员和以太坊安全社区了解了ChainSecurity在2019年1月15日发现的与君士坦丁堡相关的潜在问题。我们正在调查任何潜在的漏洞,并将持续关注该事件的发生。


出于谨慎的考虑,以太坊社区的主要利益相关者商量决定最好的解决方案是推迟君士坦丁堡分叉的计划,该分叉将会发生在2019年1月16日的708000区块。


这就将要求节点(节点运营,交易所,矿工,钱包服务等)在第7,080,000之前更新到新版本的Geth或Parity。 7,080,000区块将在本次出版后约32小时内或在美国东部时间1月16日晚上8点,美国东部时间1月17日晚上11点,格林尼治标准时间1月17日凌晨4点开始。


你需要做什么?


如果你是一个单纯只在以太坊上进行买卖的人(不运行节点),则无需执行任何操作


矿工,交易所,节点运营商:


使用以下链接将您的Geth和/或Parity实例更新为更新版本


Geth

1.升级到1.8.21,或
2.降级至Geth 1.8.19,或
3.保持在1.8.20,但使用the switch ‘–override.constantinople=9999999’ to postpone the Constantinople fork indefinitely.


Parity Ethereum
1.升级到Parity Ethereum 2.2.7-stable(推荐)
2.升级到Parity Ethereum 2.3.0-beta
3.降级至Parity Ethereum 2.2.4-beta(不推荐)


其他群体

1.Ledger,Trezor,Safe-T,Parity Signer,WallEth,Paper Wallets,MyCrypto,MyEtherWallet以及其他未通过同步和运行节点参与网络的用户或令牌持有者。


你不必做任何事情。


合同所有者(Contract owners)

1.你不必做任何事情。
2.您可以选择检查潜在漏洞的分析并检查您的合同。
3.但是,您不必执行任何操作,因为将不会启用引入此潜在漏洞的更改。


背景

ChainSecurity的文章深入研究了潜在的漏洞以及如何检查漏洞的智能合约。非常简短:
1.EIP-1283为SSTORE运营带来了更便宜的GAS成本。
2.一些智能合约(已经在链上)可能会利用代码模式,这些代码模式会在君士坦丁堡升级发生后更容易受到重新入侵攻击。
3.在君士坦丁堡升级之前,这些智能合约不会受到影响。
使用transfer()、send()函数和状态更改操作的合约,增加了被攻击的可能性。一个例子是两方共同接收资金,决定如何分割所述资金,以及启动这些资金的支付。


怎么决定推迟君士坦丁堡得分叉呢?
像ChainSecurity和TrailOfBits这样的安全研究人员在整个区块链中运行(并且仍在运行)分析。但是他们并没有提早发现任何此类漏洞的情况。但是,某些合同可能会受到非零风险的影响。
因为风险是非零的,并且确定风险所花费的时间比计划君士坦丁堡升级长,所以决定推迟分叉就十分地谨慎。


参与讨论的各方包括但不限于:
安全研究员
以太坊利益相关者
以太坊客户开发人员
智能合约业主/开发商
钱包提供商
节点运营商
Dapp开发人员
媒体


响应时间

太平洋时间凌晨3:09
ChainSecurity通过以太坊基金会的bug赏金计划负责任地披露了潜在的漏洞。

太平洋时间上午8:09
以太坊基金会要求ChainSecurity公开披露。

太平洋时间上午8:11
ChainSecurity的原创文章发表。

太平洋时间上午8:52
Martin Holst Swende在ethsecurity和AllCoreDevs Gitter频道发帖:“我们需要快速决定潜在的后果以及如何前进。我们还剩下大约37个小时,直到分叉发生(请阅读:https://medium.com/chainsecurity/constantinople-enables-new-reentrancy-attack-ace4088297d9 @ / all)“

太平洋时间上午8:52  - 太平洋时间上午10:15
关于潜在风险,链上分析以及需要采取的步骤,在各种渠道进行讨论。

太平洋时间上午10:15  - 太平洋时间下午12:40
通过与关键利益相关者进行缩放音频通话在gitter和其他渠道中也继续讨论。

太平洋时间下午12:08
决定推迟君士坦丁堡升级

太平洋时间下午1:30
各种渠道和社交媒体发布的公开博客文章

本文由EvanVanNess,Infura,MyCrypto,Parity,Status,The Ethereum Foundation和Ethereum Cat Herders共同合作完成。(头等仓进行翻译)

免责申明:资讯内容仅代表媒体观点,仅供投资参考,并不代表本网站观点。 凡因任何方式投资造成亏损或者盈利均与本网站无关,本声明未涉及的 问题参见国家有关法律法规,当本声明与国家法律法规冲突时,以国家法律法规为主。