鑒于社區(qū)發(fā)現(xiàn)君士坦丁堡硬分叉升級存在潛在安全漏洞,以太坊社區(qū)的主要利益相關(guān)者決定推遲這次硬分叉。以太坊官方博客今日早間發(fā)布公告,鑒
鑒于社區(qū)發(fā)現(xiàn)君士坦丁堡硬分叉升級存在潛在安全漏洞,以太坊社區(qū)的主要利益相關(guān)者決定推遲這次硬分叉。
以太坊官方博客今日早間發(fā)布公告,鑒于社區(qū)發(fā)現(xiàn)君士坦丁堡硬分叉升級存在潛在安全漏洞,以太坊社區(qū)的主要利益相關(guān)者決定推遲這次硬分叉。以太坊主要客戶端Parity和Geth均發(fā)布新的版本。下文是以太坊官方博客的譯文,介紹了有關(guān)這次推遲的具體信息以及各方利益相關(guān)者需要采取的措施。
譯文如下:
(圖片來源:unsplash)
以太坊核心開發(fā)者和以太坊安全社區(qū)注意到了由ChainSecurity于2019年1月15日發(fā)現(xiàn)的與君士坦丁堡硬分叉升級相關(guān)的潛在安全問題。我們正在調(diào)查所有潛在的漏洞,并將在這篇博客文章和各媒體渠道進行更新。
出于極大的謹慎立場,以太坊社區(qū)的主要利益相關(guān)者決定,最好的做法是推遲原定于在區(qū)塊高度7080,000(大約2019年1月16日)實施的君士坦丁堡硬分叉升級。
這將要求所有運行節(jié)點的人(節(jié)點運營商、交易所、礦工、錢包服務等等)在區(qū)塊高度7080,000之前更新到Geth或Parity客戶端的新版本。區(qū)塊高度7080,000將在本文發(fā)布后的大約32小時內(nèi)達到,也就是大約美國太平洋(2.790,-0.03,-1.06%)時間1月16日晚上8點,或美國東部時間1月16日11點,或格林尼治時間1月17日凌晨4點。
你需要做什么
如果您只是與以太坊交互(不運行節(jié)點),你無需做任何事。
礦工、交易所和節(jié)點運營商:
當Geth和/或Parity客戶端發(fā)布新版本之后(現(xiàn)已發(fā)布),進行更新。
Geth客戶端:
更新到版本1.8.21或
降級到版本1.8.19或
仍舊使用版本1.8.20,但使用‘–override.constantinople=9999999’開關(guān)推遲君士坦丁堡分叉。
Parity客戶端:
升級到2.2.7穩(wěn)定版(推薦)
升級到2.3.0測試版
降級到2.2.4測試版(不推薦)
其他人
Ledger, Trezor, Safe-T, Parity Signer, WallEth, Paper Wallets, MyCrypto, MyEtherWallet 等錢包用戶,以及其他沒有通過同步和運行節(jié)點參與網(wǎng)絡的用戶或代幣持有者:
無需做任何事
以太坊合約所有者:
無需做任何事
您可以選擇檢查潛在漏洞的分析并檢查您的合約。
但是,您不需要做任何事情,因為引入此潛在漏洞的更改將不會被啟用。
事件背景
這次漏洞的發(fā)現(xiàn)者ChainSecurity發(fā)布的文章中深入挖掘潛在的漏洞,以及如何檢查智能合約的漏洞。簡單地說:
“EIP-1283為SSTORE操作引入了更便宜的gas成本。一些智能合約(已經(jīng)在鏈上了)可能會利用這種代碼模式,這會使它們在君士坦丁堡升級之后容易遭受一種重入攻擊。
只要不進行君士坦丁堡升級,這些智能合約就不會不堪一擊。”
在狀態(tài)更改操作之后使用transfer()或send()函數(shù)的合約增加了它們易受攻擊的可能性,例如,在一種合約中,當交易雙方共同接收資金,決定如何分割這些資金,并開始支付這些資金時,就容易遭受攻擊。
推遲君士坦丁堡分叉的決定是如何做出的
安全研究人員,像ChainSecurity和TrailOfBits,對整個區(qū)塊鏈進行(目前仍在進行)分析。雖然他們在自然環(huán)境下沒有發(fā)現(xiàn)任何這種漏洞的情況。然而,仍存在一些合約可能受到影響的非零風險。
由于風險是非零的,而且確定風險所需的時間比計劃中的君士坦丁堡升級之前的可用時間要長,因此出于極大的謹慎,決定推遲這次分叉。
參與討論的各方包括但不限于:
安全研究人員
以太坊利益相關(guān)者
以太坊客戶端開發(fā)者
智能合約所有者/ 開發(fā)者
錢包提供商
節(jié)點運營商
dapp開發(fā)者
媒體
