2019年1月15日,ChainSecurity在Medium上发表了一篇题为ConstantinopleenablesnewReentrancyAttack的文章,文中通过代码示例的方式,阐述了一些智能合约代码在君士坦丁堡升级之后容易受到重入式攻击(re-entrancyattack)。文章链接:
https://medium.com/chainsecurity/constantinople-enables-new-reentrancy-attack-ace4088297d9
文章中阐述道:
即将到来的以太坊君士坦丁堡升级将实现某些SSTORE操作从而消耗更少的gas费用。但是在Solidity智能合约中使用address.transfer(...)或address.send(...)函数将可能引发重入式攻击。以前,这些函数被认为是可以抵御重入式攻击的,但现在已不同往日。
之后,以太坊核心开发者和以太坊安全社区意识到了这一问题,正在开展相关的漏洞调查工作,并决定推迟君士坦丁堡硬分叉升级。此次升级原定于当以太坊区块高度到达7,080,000时进行,预计将于2019年1月16日到达该高度。与此同时,建议所有节点运营商、交易所、矿工和钱包服务提供商等,在区块高度到达7,080,000之前,升级至最新的Geth或Parity版本。
交银国际洪灝:美联储对于加密货币的态度并非将其视为非法:交银国际董事总经理、研究部负责人洪灝发微博称:认真阅读了昨晚金融稳定监管局副主席对于数字货币的发言,尤其是他对于稳定币和加密货币的看法:他认为稳定币对于美元的流通有促进作用,反而将进一步巩固美元的霸权地位。其它国家也会发展自己的稳定币,美联储也一直鼓励私人部门的创新。加密货币如比特币通过投机机制创造价值,没有内在价值,波动性大,因此注定了只能是“新茅坑,香三日”。洪灝表示:看来美联储对于加密货币的态度并非将其视为非法,也不认为它能挑战美元,并将逐步开发数字美元。[2021/6/29 0:13:54]
为此,以太坊开发者HudsonJameson发文加以阐述,文章链接:
https://blog.ethereum.org/2019/01/15/security-alert-ethereum-constantinople-postponement/
Hudson在文章中给出的建议主要包括:
1、如果您只是与以太坊网络进行简单的交互,并不运行节点,则您不需要执行任何操作
金色相对论 | 李自鹏:目前ETH2.0的设计,对于想参与ETH Staking的用户来说,并不友好:11月27日消息,在今日举行的金色相对论中,针对“可以预测的是阶段0会持续较长的一段时间,这段时间投资者存入的ETH和信标链出块奖励的BETH都无法兑现,这对于以太坊生态来说,是好是坏?有哪些补足办法?”的问题,StaFi首席研究员李自鹏表示,ETH2.0 Phase 0 阶段将在近期上线,用户可以直接参与到信标链的Staking中,只需要质押32个ETH就可以成为节点,并享受年化5%至20%左右的Staking奖励。但是目前ETH2.0的设计,对于想参与ETH Staking的用户来说,并不友好:
1)Stakers必须掌握大量关于运行节点的知识,然后去运行验证人客户端,才能获得质押收益。并且还要保持稳定的在线时间,避免双签等Slash行为,否则还会受到ETH 2.0 的惩罚,不仅没能获得质押收益,还可能出现账户余额从32ETH被罚没成16ETH的情况。所以这对于单纯希望获得Staking奖励的人来说,参与门槛太高;
2)每一个节点最多质押32个ETH,如果希望质押更多数量的ETH,就需要同时运行多个验证人客户端,进而增加节点的运营成本和运维难度;
3)如果用户希望质押的数量低于32个ETH,则无法参与ETH2.0 Staking;
除了上述的高参与门槛外,Stakers在质押成功后还将面临赎回的难题:只有等待 ETH2.0 Phase 2之后才能赎回原来的ETH。而ETH2.0 Phase 2上线的时间预计可能需要1~2年,这意味着Stakers的资产可能在1~2年内无法赎回流通,此种状态让绝大多数 Stakers 都难以承受。[2020/11/27 22:20:16]
2、矿工、交易所和节点运营商:
币印金融CEO杨建国:套保对于法币本位的矿工十分友好:金色财经现场报道,10月24日,松鼠矿机SMINER新品发布会暨2020全球显卡矿工大会在成都举行。在以《挖矿对冲金融,显卡穿越牛熊》为题的圆桌讨论中,币印金融CEO杨建国指出,再过去,矿工多以币为本位,现在,越来越的矿工开始以法币为本位。套保是抵抗行情剧烈波动和黑天鹅的工具,是站在法币本位的说法,执行套保之后,法币本位不会亏损,甚至会有部分盈余,鉴于此,,矿工购买矿机一定要进行套保。[2020/10/24]
当Geth和/或Parity客户端新版本发布后请及时进行更新;这些新版本尚未发布,发布之后的我们会及时公布更新链接和版本号及其说明;预计之后的3-4小时内会发布新版本。3、Geth客户端
将版本升级至1.8.21,或者降级至Geth1.8.19,或者维持在1.8.20版本,但需要使用开关‘override.constantinople=9999999’从而实现无限期延迟君士坦丁堡升级。4、Parity客户端
升级至ParityEthereum2.2.7-stable稳定版本(推荐);升级至ParityEthereum2.3.0-beta测试版本;降级至ParityEthereum2.2.4-beta测试版本(不推荐)。5、其他
声音 | 马耳他外长:区块链不仅代表科学技术未来发展方向 对于今年的发展也有很大影响:耳他外交与贸易促进部长卡梅洛?阿贝拉在第二届进博会期间接受专访时表示,最近几个月,关于科学技术方面的发展,马耳他也制定了一些法律框架,这对于世界各国的人来说都会产生很大的吸引力。阿贝拉称“我们也知道中国朋友和企业对于区块链技术也有越来越大的需求,区块链不仅代表着科学技术的未来发展方向,对于今年的发展也有很大的影响。”(澎湃新闻)[2019/11/11]
Ledger、Trezor、Safe-T、ParitySigner、WallEth、PaperWallets、MyCrypto、MyEtherWallet以及其他未通过同步和运行节点来参与到以太坊网络中的用户或代币持有者
你不需要做任何事情6、合约所有者
您无需要做任何事情;您可以选择对合约的潜在漏洞进行分析并检查您的合约;但是,您无需做任何事情,因为引发此潜在漏洞的变更将不会被启用。由于排除风险所需的时间预计将超过君士坦丁堡升级之前声誉的时间,因此以太坊开发者们决定推迟此次硬分叉升级。推迟至何时还尚不明确。
福布斯新闻顾问:比特币会激发人们对于去中心化的兴趣 但其设计缺陷将制约比特币发展前景:日前,福布斯新闻顾问Saeed Elnaj有文章表示:比特币区块链的设计缺陷将制约其未来发展前景。并举例表明比特币和比特币区块链目前有几个问题。首先,比特币区块链比以太坊的能源消耗更大;其次,比特币区块链每秒只能处理7笔交易,而以太坊是20笔;再次,比特币的产出机制会使其生产成本很快超过自身价值,未来可能因高额区块链运营费用而失去大量算力;最后,比特币价格波动剧烈,去中心化加密货币交易场景很难落地,也无法适应高频交易的需求。但他也同时认为,比特币会激发人们对于去中心化的兴趣。[2018/3/30]
对于此次升级的延迟,以太坊社区成员们是如何看待的呢?我们来看一下Reddit上的以太坊社区r/ethereum中,社区成员对此此升级推迟的看法:
@CryptoOnly:推迟升级是明智之举。希望相关漏洞能够尽快解决,但我相信大多数人是愿意等待此次升级在适当的时间执行的。
@millerkm87:虽然我一直都非常期待此次升级,但推迟升级展现了以太坊社区是非常成熟的。虽有些不幸,但我更感谢漏洞被查出并被公之于众,同时采取了适当的措施来加以应对。感谢开发者们一直以来的孜孜奉献。
@SpacePirateM:感谢让社区成员能够及时了解这些问题,这有助于减少人们的FUD(惧惑疑)心理。我完全相信开发者们能够解决这些小问题。
@sandakersmann:伙计们,赶紧升级你们的节点!
@stevieyongieg:在区块链和智能合约领域,没有什么事情是容易实现的。重要的是ETH背后有着坚实的团队和基础。现在发现漏洞总比以后发现要好啊。
@UndeadWolf222:虽然有些失望,但感谢能够在主网升级之前发现(漏洞)。伙计们,继续加油吧。
@DexVitality:有些难过,又要推迟了。但鉴于可能存在重入式漏洞,推迟是完全有必要的...我想继续前行的同时...也许他们(开发者们)能有更多时间来讨论潜在的将PoW改变成ProgPoW,或者在确定硬分叉日期的时候可能提出其他的EIP,我的假设是此次推迟有可能将升级延迟至少1个月左右。
@superflyj416:有人能对此次推迟将持续多久做出有根据的猜测吗?需要几周还是几个月?你为什么这么认为呢?
@insomniasexx:确切的时间将可能于周五确定下来。不可能会延迟很长时间,因为难度炸弹已经被设置好了在某个时间爆炸。因此我觉得此次推迟有可能持续超过3天,但短于即将发生的难度炸弹期限,这是我能做出的最好的猜测。
@5chdn:我认为,延迟可能超过2个星期,但不会超过6个星期,这是我能做出的最好的猜测。
@neuromancer4867:我们又要回到(ETH)价格只有$80的时候了。这是最有可能的结果,但这依旧是一件很糟糕的事情。
@parasitemite:很有可能(ETH)价格会上涨到$200,因为这次事件是一个很好的结果,它向我们展现了以太坊团队不惧于迅速应对问题。
@psswrd12345:又再次延迟了,真的很难让人保持积极态度。导致这次无限期的推迟的原因,本应该在上一次延期的时候就检测出来。真的很失望。当然最好还是推迟,但现在真的很难保持信念了。这种感觉比当初的DAO分叉更灰暗...
@Stobie:@psswrd12345只是推迟几周而已,没那么严重。
@c-i-s-c-o:@psswrd12345构建去中心化web本就不是一朝可以实现的,不可能不存在挫折。要么习惯这些挫折,要么就把精力专注在那些不那么易变的事务上。
@consideritwon:质量帖。我想问几个问题...其他的操作也可能带来重入式攻击,而这通常是可以通过避免某些模式来加以应对的。一旦确认没有合约会受到影响,是否有意继续部署这个EIP并以这种方式处理重入式攻击?或者会重新变更EIP?其次,关于为何这么久之后才发现这一漏洞。是否有方法能够用来改进自动化检测,以此来发现诸如此类的问题?还是需要手动去检测问题?我们从中能够吸取什么教训呢?
@Xazax310:恰好我的问题也是,为何之前没有检测出这个问题?很高兴开发者们发现了这个漏洞,并在修复中。这可能只是一个小问题。
@vbuterin:@Xazax310我们遇到的所有非常讨人厌的问题都涉及到不同组件之间的交互。二次DoS攻击结合了EVM存储器和调用栈框架或返回和调用栈框架,这可能会增加风险,因为发送中的默认gas、SSTOREgas成本和重入式问题之间存在交互。因此,如果你的协议有着N个功能,就存在N的二次方中方式来攻破这些功能。我想说,我个人从此次事件中学到的就是,需要对我们所编写的不变量(由协议保障的属性)要更加清楚明确,这样当事情发生变化时,我们才能更好地检查这些不变量。
@Xazax310:明白了,感谢你的解答。
本文来源于非小号媒体平台:
Unitimes独角时代
现已在非小号资讯平台发布1篇作品,
非小号开放平台欢迎币圈作者入驻
入驻指南:
/apply_guide/
本文网址:
/news/3627114.html
以太坊ETH
免责声明:
1.资讯内容不构成投资建议,投资者应独立决策并自行承担风险
2.本文版权归属原作所有,仅代表作者本人观点,不代表非小号的观点或立场
下一篇:
Dash无惧51%算力攻击?其他PoW链如何自保?
据彭博社报道,加密货币投资公司Grayscale表示,其加密货币以太币的投资工具获得二级市场交易批准,将很快开放给大众投资者.
1900/1/1 0:00:00为了庆祝LBank期权交易火热上线,并拓展PHV的交易场景。我们启动了预算共10BTC的「PHV期权补偿基金」激励补偿活动.
1900/1/1 0:00:00尊敬的用户:K网国际站将于新加坡时间2019年5月27日上线WB。计划于5月26日10:00开启WB的充提币服务,5月27日10:00正式开启交易.
1900/1/1 0:00:00亲爱的社区用户:应FOne蜂巢资本交易区要求,FOne?会在今日?20:00开始支持以下币种交易:DAI(DAI).
1900/1/1 0:00:002018年12月19日,众多游戏类DApp遭遇交易回滚攻击,其中包括BetDice,EOSMax,ToBet等。按当时18元人民币的价格计算,损失超过500万人民币.
1900/1/1 0:00:00继宣布裁员之后,数字货币支付公司Circle再一次传来降低融资目标的消息。据悉,Circle创立于2013年,总部位于都柏林,是一家专注于移动支付和加密货币的创业公司,曾“美国版支付宝”称号.
1900/1/1 0:00:00