临时叫停!凌晨以太坊君士坦丁堡代码突然爆出“可重入”漏洞
原标题:通告 | 安全警告!推迟君士坦丁堡分叉
以太坊核心开发人员和以太坊安全社区已经认识到由 ChainSecurity 在 2019 年 1 月 15 日发现的与君士坦丁堡相关的潜在问题。我们正在调查所有潜在的漏洞,并将在博客文章和社交媒体中更新相关的信息。
出于谨慎的考虑,以太坊社区的主要利害关系人已经确定,最好的行动方案是推迟君士坦丁堡分叉,按原定计划,该分叉将在 2019 年 1 月 16 日的 7,080,000 号区块上发生。
因为,我们希望所有任何运行节点的人(节点运营商,交易所,矿工,钱包服务等)在 7,080,000 号块之前更新到新版本的 Geth 或 Parity。7,080,000 号区块将在本文发布之后约 32 小时(译者注:我们现在还有不到 29 个小时)挖出,或者说,将在美国太平洋时间 1 月 16 日晚上 8 点/美国东部时间 1 月 16日晚上11点/格林尼治标准时间 1 月 17 日凌晨 4 点开始。
你需要做什么
如果您是一个只与以太坊交互的人(您并不运行节点),则无需执行任何操作。
矿工,交易所,节点运营商:
Geth
Parity
其他所有人:
Ledger、Trezor、Safe-T、Parity Signer、WallEth、Paper Wallets、MyCrypto、MyEtherWallet 以及其他未通过同步和运行节点参与网络的用户或代币持有者,
你不需要做任何事情。
合约所有者
背景
ChainSecurity 的文章深入研究了潜在的漏洞,以及检查智能合约有无相关漏洞的方法。非常简短:
使用 transfer() 或 send() 函数然后改变状态的合约会更容易受到攻击。这种合约的一个例子是两方共同接收资金、决定如何分割资金,然后启动这些资金的支付。
推迟君士坦丁堡分叉的决定是怎么作出的
像 ChainSecurity 和 TrailOfBits 这样的安全研究人员对整个区块链进行了(并且仍在持续)分析。他们没有发现任何此类漏洞的实际案例。但是,合约受到影响的可能性并非为零。
因为风险并不为零,并且排除风险所需的时间比计划的君士坦丁堡升级之前剩余的时间长,所以出于谨慎决定推迟分叉。
参与讨论的各方包括但不限于:
时间线
原文链接:
https://blog.ethereum.org/2019/01/15/security-alert-ethereum-constantinople-postponement/
翻译&校对: Toya & 阿剑