臨時叫停!凌晨以太坊君士坦丁堡代碼突然爆出“可重入”漏洞
原標題:通告 | 安全警告!推遲君士坦丁堡分叉
以太坊核心開發人員和以太坊安全社區已經認識到由 ChainSecurity 在 2019 年 1 月 15 日發現的與君士坦丁堡相關的潛在問題。我們正在調查所有潛在的漏洞,並將在博客文章和社交媒體中更新相關的信息。
出於謹慎的考慮,以太坊社區的主要利害關係人已經確定,最好的行動方案是推遲君士坦丁堡分叉,按原定計劃,該分叉將在 2019 年 1 月 16 日的 7,080,000 號區塊上發生。
因爲,我們希望所有任何運行節點的人(節點運營商,交易所,礦工,錢包服務等)在 7,080,000 號塊之前更新到新版本的 Geth 或 Parity。7,080,000 號區塊將在本文發佈之後約 32 小時(譯者注:我們現在還有不到 29 個小時)挖出,或者說,將在美國太平洋時間 1 月 16 日晚上 8 點/美國東部時間 1 月 16日晚上11點/格林尼治標準時間 1 月 17 日凌晨 4 點開始。
你需要做什麼
如果您是一個只與以太坊交互的人(您並不運行節點),則無需執行任何操作。
礦工,交易所,節點運營商:
Geth
Parity
其他所有人:
Ledger、Trezor、Safe-T、Parity Signer、WallEth、Paper Wallets、MyCrypto、MyEtherWallet 以及其他未通過同步和運行節點參與網絡的用戶或代幣持有者,
你不需要做任何事情。
合約所有者
背景
ChainSecurity 的文章深入研究了潛在的漏洞,以及檢查智能合約有無相關漏洞的方法。非常簡短:
使用 transfer() 或 send() 函數然後改變狀態的合約會更容易受到攻擊。這種合約的一個例子是兩方共同接收資金、決定如何分割資金,然後啓動這些資金的支付。
推遲君士坦丁堡分叉的決定是怎麼作出的
像 ChainSecurity 和 TrailOfBits 這樣的安全研究人員對整個區塊鏈進行了(並且仍在持續)分析。他們沒有發現任何此類漏洞的實際案例。但是,合約受到影響的可能性並非爲零。
因爲風險並不爲零,並且排除風險所需的時間比計劃的君士坦丁堡升級之前剩餘的時間長,所以出於謹慎決定推遲分叉。
參與討論的各方包括但不限於:
時間線
原文鏈接:
https://blog.ethereum.org/2019/01/15/security-alert-ethereum-constantinople-postponement/
翻譯&校對: Toya & 阿劍