Rejoignez-Nous sur

Augur mise sur le retard de Ethereum Constantinople après la découverte d'un autre insecte

News

Augur mise sur le retard de Ethereum Constantinople après la découverte d'un autre insecte

Un nouveau bug dans la mise à niveau de Ethereum à Constantinople a été découvert à la dernière minute, affectant un nombre limité de contrats intelligents utilisant l’autodestruction.

Jason Carver, développeur de la fondation Ethereum (EF), déclare qu'une nouvelle fonctionnalité appelée Create2 peut permettre à un développeur de remplacer le contrat autodestruit et de modifier ainsi les règles. Carver a dit:

"Vous pouvez construire un contrat assez inoffensif avant Constantinople, qui donne deux résultats possibles d’une transaction: {" un contrat existe ":" échanger des jetons "," un contrat s’autodétruit ":" un gaspillage de gaz "}. Après Constantinople, les options pourraient désormais devenir {'contrat existe': 'échange de jetons', 'contrat auto-destructif': 'gaspille du gaz', 'contrat remplacé': 'tous les jetons ERC20 préalablement approuvés au contrat sont volés '}…

L’envoi d’éther n’est pas le seul moyen de se faire arroser. Par exemple, vous pouvez utiliser «approuver» ERC20 dans un contrat, en veillant à ce que le contrat contienne certaines règles sur la manière dont il utilisera votre jeton approuvé. L’autodestruction n’a pas l’air particulièrement dangereux ici (avant Constantinople), car le contrat ne peut que disparaître. Maintenant, il peut disparaître et revenir avec un code qui transfère tous vos jetons approuvés. "

Martin Holst Swende, un autre développeur chez EF, a déclaré: "Le corollaire est, comme auparavant, que si quelqu'un vérifiait la source, il aurait dû remarquer le SELFDESTRUCT (sans période d'inactivité due) et éviter d'interagir avec lui."

Si nous comprenons bien, cela suggère que la solution simple pour qui veut acheter un cryptopuppie est d’avoir au préalable une lecture du contrat pour voir s’il pourrait contenir l’autodestruction.

«Il existe des moyens de contourner chacune de ces« attaques sociales », mais la plupart d’entre elles nécessitent une éducation. Cela va sûrement prendre du retard par rapport à la modernisation de Constantinople », a déclaré Carver. dit.

Il est probable que ce sont principalement des développeurs hautement techniques qui suivent le compte ci-dessus, mais 76% d’entre eux se trompent. Les chances qu'un non-développeur connaisse cette astuce auto-destructive sont donc probablement minimes.

«Je suppose que si nous appliquons la proposition de taxe d'État telle qu'elle est actuellement, elle permettra la résurrection de la bibliothèque multisig de Parity», déclare Alexey Akhunov, qui travaille sur la mise à niveau Ethereum 1x. Il a ajouté:

«Je pense maintenant à la protection temporelle contre le rejeu proposée par EIP dans la proposition 2 sur les redevances d’État. Je viens de conclure que l’expulsion du compte EOA [normal eth addresses] combiné avec la protection temporelle contre le rejeu (qui réinitialise le nonce de EOA à 0), étendra ce que CREATE2 plus loin, aux comptes EOA…

CREATE2 aurait peut-être dû être modifié pour ne jamais autoriser la répétition des nonces, comme pour d’autres systèmes de protection contre la réexécution, tels que l’attribution à TOTAL_TXS du nonce des contrats nouvellement créés, ce qui permettrait au moins d’éliminer les effets d’inflexion dépassant les fonctionnalités prévues. "

Swende a répondu en ces termes: «Peut-être que la protection temporelle contre le rejeu n'est pas suffisante. Non pas parce que ce multisig paritaire pourrait être ressuscité – je pense que ce serait cool (je me suis opposé à une fourchette ciblée pour cela, mais une chose non ciblée générale est cool par moi), mais nous devons en trouver une autre (mauvais ) Effets secondaires. (De plus, je ne suis pas sûr que le multisig puisse être ressuscité de cette façon, car il serait facile pour quiconque de l’empêcher.) "

Akhunov a déclaré qu'il travaillerait sur un correctif, avec des taxes d'état non encore utilisées. La mise à niveau de Constantinople, cependant, devrait être mise en ligne le 27 février.

Cela permettra aux contrats intelligents d’autodestruction d’amener les individus à voler leur argent. Leurs options envisagées étaient de tout supprimer, de le modifier ou de le laisser tel quel et d'éduquer tout le monde en leur faisant savoir que certains contrats intelligents ne sont pas immuables, mais peuvent être modifiés à volonté.

Ce qu'ils ont décidé n'est pas encore clair. La plupart d'entre eux sont des heures américaines, nous n'avons donc réussi qu'à joindre Afri Schoedon de Parity qui nous a demandé si Constantinople serait retardé en raison de ce qui précède, a déclaré «Non».

Cette révélation, cependant, est toute nouvelle et il n'est donc pas clair à quel point Schoedon y est familier. Lorsque nous avons demandé si les contrats intelligents avec autodestruction seraient désormais juste en mesure de voler les fonds des gens, il a déclaré: «J'aimerais savoir que réponds aussi.

Au minimum, il semble que cela va considérablement compliquer la loyer / frais de l'Etat la mise en oeuvre. D'autre part, le l'âge de glace a maintenant commencé.

Augur parie sur le retard de Constantinople, février 2019.

La période glaciaire a actuellement porté le temps de bloc à 21 secondes, ramenant de 20 000 à 13 000 nouveaux approvisionnements.

Dans environ trois semaines, l’offre diminuera de nouveau de 2 000 à 3 000 eth. Les temps de blocs devraient augmenter à environ 25 secondes. Trois semaines plus tard, nous pourrions avoir 30 à 40 secondes.

Il est donc temps de reporter Constantinople à la fin du mois de mars avec des inconvénients supportables. C’est ce que sont les éthériques d’Augur les paris vont arriver, mais on ne sait pas encore ce qu’ils envisagent de faire.

Droits d'auteur Trustnodes.com



Traduction de l’article de Trustnodes : Article Original

BlockBlog

Le Meilleur de l'Actualité Blockchain Francophone & Internationale | News, Guides, Avis & Tutoriels pour s'informer et démarrer facilement avec Bitcoin, les Crypto-Monnaies et le Blockchain. En Savoir Plus sur L'Équipe BlockBlog

Commenter cet Article

Commenter cet Article

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Plus dans News

Top