2019年1月15日,ChainSecurity在Medium上發表了一篇題為ConstantinopleenablesnewReentrancyAttack的文章,文中通過代碼示例的方式,闡述了一些智能合約代碼在君士坦丁堡升級之后容易受到重入式攻擊(re-entrancyattack)。文章鏈接:
https://medium.com/chainsecurity/constantinople-enables-new-reentrancy-attack-ace4088297d9
文章中闡述道:
即將到來的以太坊君士坦丁堡升級將實現某些SSTORE操作從而消耗更少的gas費用。但是在Solidity智能合約中使用address.transfer(...)或address.send(...)函數將可能引發重入式攻擊。以前,這些函數被認為是可以抵御重入式攻擊的,但現在已不同往日。
之后,以太坊核心開發者和以太坊安全社區意識到了這一問題,正在開展相關的漏洞調查工作,并決定推遲君士坦丁堡硬分叉升級。此次升級原定于當以太坊區塊高度到達7,080,000時進行,預計將于2019年1月16日到達該高度。與此同時,建議所有節點運營商、交易所、礦工和錢包服務提供商等,在區塊高度到達7,080,000之前,升級至最新的Geth或Parity版本。
動態 | 新加坡BK財團對于Bithumb的收購款支付可能推遲至9月末:據tokenpost消息,新加坡BK財團董事長金炳郡表示:“對于韓國加密貨幣交易所Bithumb的收購款支付可能從3月末推遲到9月末。”據悉,BK財團到目前為止只支付了8000萬美元,約為收購金的20%。據韓國媒體分析,近日Bithumb交易所被盜可能是延期付款的原因。[2019/4/1]
為此,以太坊開發者HudsonJameson發文加以闡述,文章鏈接:
https://blog.ethereum.org/2019/01/15/security-alert-ethereum-constantinople-postponement/
Hudson在文章中給出的建議主要包括:
1、如果您只是與以太坊網絡進行簡單的交互,并不運行節點,則您不需要執行任何操作
2、礦工、交易所和節點運營商:
當Geth和/或Parity客戶端新版本發布后請及時進行更新;這些新版本尚未發布,發布之后的我們會及時公布更新鏈接和版本號及其說明;預計之后的3-4小時內會發布新版本。3、Geth客戶端
聲音 | CoinbaseCEO:熱存儲對于提供執行交易所需的靈活性和速度并不總是必要的:據Cointelegraph消息,2月22日,Coinbase首席執行官Brian Armstrong就加密托管解決方案發表了如下看法:第一,熱存儲對于提供執行交易所需的靈活性和速度并不總是必要的。某些平臺允許用戶使用延遲結算的方式進行場外交易,這意味著資金在交易執行后才能離線存儲;第二,參與PoS網絡并獲得加密貨幣作為回報并不一定意味著后者需要存儲在熱錢包中;第三,設計一個需要多個密鑰的加密托管解決方案是一種可靠的方法,不管存儲的資金是在線還是離線;第四,硬件安全模塊可以接近于冷存儲的安全性,這對托管架構是有益的,但是無法與之等同。[2019/2/22]
將版本升級至1.8.21,或者降級至Geth1.8.19,或者維持在1.8.20版本,但需要使用開關‘override.constantinople=9999999’從而實現無限期延遲君士坦丁堡升級。4、Parity客戶端
升級至ParityEthereum2.2.7-stable穩定版本(推薦);升級至ParityEthereum2.3.0-beta測試版本;降級至ParityEthereum2.2.4-beta測試版本(不推薦)。5、其他
聲音 | 比特幣開發者Jimmy Song:去中心化是比特幣相對于競爭幣成功的關鍵:比特幣開發者Jimmy Song的一篇博客文章中寫道,隨著最大的加密貨幣比特幣與其他加密貨幣的分離,人們對比特幣與競爭幣的看法在2018年永遠改變了。他表示:比特幣與眾不同,因為比特幣是去中心化的。去中心化的好處往往很微妙,很容易被忽視,但它們是真正的好處。我們在2018年看到的是,擁有大量的“開發者活動”與生產市場想要的東西是不一樣的。比特幣的與眾不同之處在于,它發布的是實際使用的功能,而不是像很多競爭幣那樣發布很多無用功能。[2019/1/1]
Ledger、Trezor、Safe-T、ParitySigner、WallEth、PaperWallets、MyCrypto、MyEtherWallet以及其他未通過同步和運行節點來參與到以太坊網絡中的用戶或代幣持有者
你不需要做任何事情6、合約所有者
您無需要做任何事情;您可以選擇對合約的潛在漏洞進行分析并檢查您的合約;但是,您無需做任何事情,因為引發此潛在漏洞的變更將不會被啟用。由于排除風險所需的時間預計將超過君士坦丁堡升級之前聲譽的時間,因此以太坊開發者們決定推遲此次硬分叉升級。推遲至何時還尚不明確。
聲音 | 香港財政司司長陳茂波:當局對于虛擬資產等取態非常審慎:據中新網消息,香港財政司司長陳茂波近日表示,金管局早前宣布正式啟動“貿易聯動”,通過區塊鏈技術,將貿易文件數碼化和把融資程序自動化,降低失誤及詐騙風險。他稱,針對運用區塊鏈技術,近年在國際興起的各類虛擬資產包括“加密貨幣”及“數碼代幣”等,由于可能對投資者造成重大風險,或被不法之徒利用以“洗黑錢”等,因此當局的取態非常審慎。[2018/11/6]
對于此次升級的延遲,以太坊社區成員們是如何看待的呢?我們來看一下Reddit上的以太坊社區r/ethereum中,社區成員對此此升級推遲的看法:
@CryptoOnly:推遲升級是明智之舉。希望相關漏洞能夠盡快解決,但我相信大多數人是愿意等待此次升級在適當的時間執行的。
@millerkm87:雖然我一直都非常期待此次升級,但推遲升級展現了以太坊社區是非常成熟的。雖有些不幸,但我更感謝漏洞被查出并被公之于眾,同時采取了適當的措施來加以應對。感謝開發者們一直以來的孜孜奉獻。
美國律師協會致信國稅局稱需要給對于那些持有分叉數字貨幣的人以報稅指導:據最新消息,美國律師協會(ABA)稅務部門致信國稅局(IRS)稱IRS需要給對于那些持有分叉數字貨幣的人以報稅指導。ABA稅務部門主席霍金斯發文稱,由于2014年IRS已經對數字貨幣征收所得稅,數字貨幣已經產生了幾個重大的發展。他還說這樣的規定不能很好地處理分叉硬幣以及派生版本的區塊鏈軟件,IRS需要提供臨時的稅務規則。而根據這樣的臨時規則,2017年收到分叉數字貨幣的人將被征稅,分叉數字貨幣征稅起始時間也變成分叉的那一刻。而這也會導致IRS對分叉數字貨幣征收資本利得稅而非所得稅,在持有者出售分叉幣時會保留它的全部價值。[2018/3/21]
@SpacePirateM:感謝讓社區成員能夠及時了解這些問題,這有助于減少人們的FUD(懼惑疑)心理。我完全相信開發者們能夠解決這些小問題。
@sandakersmann:伙計們,趕緊升級你們的節點!
@stevieyongieg:在區塊鏈和智能合約領域,沒有什么事情是容易實現的。重要的是ETH背后有著堅實的團隊和基礎。現在發現漏洞總比以后發現要好啊。
@UndeadWolf222:雖然有些失望,但感謝能夠在主網升級之前發現(漏洞)。伙計們,繼續加油吧。
@DexVitality:有些難過,又要推遲了。但鑒于可能存在重入式漏洞,推遲是完全有必要的...我想繼續前行的同時...也許他們(開發者們)能有更多時間來討論潛在的將PoW改變成ProgPoW,或者在確定硬分叉日期的時候可能提出其他的EIP,我的假設是此次推遲有可能將升級延遲至少1個月左右。
@superflyj416:有人能對此次推遲將持續多久做出有根據的猜測嗎?需要幾周還是幾個月?你為什么這么認為呢?
@insomniasexx:確切的時間將可能于周五確定下來。不可能會延遲很長時間,因為難度炸彈已經被設置好了在某個時間爆炸。因此我覺得此次推遲有可能持續超過3天,但短于即將發生的難度炸彈期限,這是我能做出的最好的猜測。
@5chdn:我認為,延遲可能超過2個星期,但不會超過6個星期,這是我能做出的最好的猜測。
@neuromancer4867:我們又要回到(ETH)價格只有$80的時候了。這是最有可能的結果,但這依舊是一件很糟糕的事情。
@parasitemite:很有可能(ETH)價格會上漲到$200,因為這次事件是一個很好的結果,它向我們展現了以太坊團隊不懼于迅速應對問題。
@psswrd12345:又再次延遲了,真的很難讓人保持積極態度。導致這次無限期的推遲的原因,本應該在上一次延期的時候就檢測出來。真的很失望。當然最好還是推遲,但現在真的很難保持信念了。這種感覺比當初的DAO分叉更灰暗...
@Stobie:@psswrd12345只是推遲幾周而已,沒那么嚴重。
@c-i-s-c-o:@psswrd12345構建去中心化web本就不是一朝可以實現的,不可能不存在挫折。要么習慣這些挫折,要么就把精力專注在那些不那么易變的事務上。
@consideritwon:質量帖。我想問幾個問題...其他的操作也可能帶來重入式攻擊,而這通常是可以通過避免某些模式來加以應對的。一旦確認沒有合約會受到影響,是否有意繼續部署這個EIP并以這種方式處理重入式攻擊?或者會重新變更EIP?其次,關于為何這么久之后才發現這一漏洞。是否有方法能夠用來改進自動化檢測,以此來發現諸如此類的問題?還是需要手動去檢測問題?我們從中能夠吸取什么教訓呢?
@Xazax310:恰好我的問題也是,為何之前沒有檢測出這個問題?很高興開發者們發現了這個漏洞,并在修復中。這可能只是一個小問題。
@vbuterin:@Xazax310我們遇到的所有非常討人厭的問題都涉及到不同組件之間的交互。二次DoS攻擊結合了EVM存儲器和調用棧框架或返回和調用棧框架,這可能會增加風險,因為發送中的默認gas、SSTOREgas成本和重入式問題之間存在交互。因此,如果你的協議有著N個功能,就存在N的二次方中方式來攻破這些功能。我想說,我個人從此次事件中學到的就是,需要對我們所編寫的不變量(由協議保障的屬性)要更加清楚明確,這樣當事情發生變化時,我們才能更好地檢查這些不變量。
@Xazax310:明白了,感謝你的解答。
本文來源于非小號媒體平臺:
Unitimes獨角時代
現已在非小號資訊平臺發布1篇作品,
非小號開放平臺歡迎幣圈作者入駐
入駐指南:
/apply_guide/
本文網址:
/news/3627114.html
以太坊ETH
免責聲明:
1.資訊內容不構成投資建議,投資者應獨立決策并自行承擔風險
2.本文版權歸屬原作所有,僅代表作者本人觀點,不代表非小號的觀點或立場
下一篇:
Dash無懼51%算力攻擊?其他PoW鏈如何自保?
Chasyr原型演示 總有人說,去中心化共享出行是一個幾乎完美的區塊鏈和Web3.0案例。盡管早在2015年就有多個項目團隊就此做出了承諾,但到目前為止,連一個beta測試版都沒有實現.
1900/1/1 0:00:00原文標題:《創始人意外死亡私鑰丟失,交易所數億資產何去何從?》「創始人意外死亡私鑰丟失導致無法訪問冷錢包,法幣賬戶被銀行凍結導致用戶無法即時提現.
1900/1/1 0:00:00原文標題:《安全警告!推遲君士坦丁堡分叉》作者:HudsonJameson翻譯&校對:Toya&阿劍以太坊核心開發人員和以太坊安全社區已經認識到由ChainSecurity在20.
1900/1/1 0:00:00昨日晚間,深大通披露了公司及實控人被證監會立案調查的公告。公告顯示,此次被立案調查起因深大通及實際控制人在證監會依法履行職責過程中未予配合,涉嫌違反相關證券法律、法規.
1900/1/1 0:00:00為了慶祝LBank期權交易火熱上線,并拓展PHV的交易場景。我們啟動了預算共10BTC的「PHV期權補償基金」激勵補償活動.
1900/1/1 0:00:00親愛的Coinw用戶:Coinw將于今日20:00開啟ELF充值&交易賽,活動期間在Coinw平臺充值或交易ELF,即有機會獲得2萬COINS空投和CoinwVIP會員.
1900/1/1 0:00:00