Paigutatud haavatavus võib viimase kahe aasta jooksul halvendada ETH-d: Ethereumi sihtasutus

Ethereumi sihtasutus on avaldanud ajaveebipostituse, milles kirjeldatakse potentsiaalselt katastroofilist haavatavust, mis oleks võinud viia põhivõrgu allahindluseni vähem kui viiekohalise hinnaga kuni programmi elluviimiseni. Berliini hardfork viimase kuu jooksul.

A mai 18 blogi postitus kirjeldab haavatavust kui "tõsist ohtu Ethereumi platvormile", kuni aprilli versiooniuuendused võimaldasid sellel kuulist kõrvale hiilida.

Aruandes kirjeldatakse ohtu kui "avalikku saladust", märkides, et see avalikustati kunagi kogemata. Pärast Berliini kõva kahvli rakendamist on sihtasutuse hinnangul oht piisavalt madal, et õigustada praegu täielikku avalikustamist, öeldes:

"On oluline, et kogukonnal oleks võimalus mõista kasutajakogemust negatiivselt mõjutavate muudatuste põhjuseid, nagu gaasikulude tõstmine ja tagasimaksete piiramine."

Postituses kirjeldatakse, et Ethereumi olek koosneb patricia-merkle katsest, milles võrreldakse kontseptuaalselt uusi Ethereumi võrgu kontosid puul kasvavate uute lehtedega. Koos Ethereumi võrgu kasv, alates 2016. aasta oktoobrist on gaasikulusid suurendatud, et kaitsta end teenuse keelamise rünnakute eest, sealhulgas vastuolulise Ethereumi täiustamise ettepaneku ehk EIP-1884 eest.

#Ethereum's DoS, mida kunagi ei tulnud.

Üle aasta oleks saanud mainneti mõne tuhande dollariga alla viia. Kuna oleme selle minevikku jätnud, on aeg heita valgust nendele segasetele aegadele.https://t.co/xbPgbyWpcp

- Mine Ethereum (@go_ethereum) Võib 18 2021

2019. aastal tegid Ethereumi turbeteadlased Hubert Ritzdorf, Matthias Egli ja Daniel Perez koostööd, et relvastada hiljutiste uuenduste abil võimaldatud ärakasutamine, kusjuures rünnak käivitas juhuslikud prooviotsingud, mis võivad "põhjustada blokeerimisaegu minutivahemikus". A aru aastal avaldati, et rünnakust põhjustatud viivitused muutuvad Ethereumi oleku kasvades pikemaks, "mis võimaldab tõhusaid DoS-rünnakuid Ethereumi vastu".

Pärast seda, kui mitmed arendajate ettepanekud 2020. aasta jooksul tagasi lükati, lõi Vitalik Buterin Martin Swendega EIP-2929 ja EIP-2930 autoriteks – uuendused, mis tõstsid rünnaku ärahoidmiseks gaasi hindu "ainult nende asjade puhul, millele pole veel juurde pääsenud". EIP-sid tutvustati koos Berliini versiooniuuendusega 15. aprillil 2021. Seega vähendas ajaveebi hinnangul Berliini versiooniuuendus 50 korda ärakasutamise tõhusust.

Ethereum ei ole ainus võrk, mis on pärast nende ärakasutamiste eest kaitsvate uuenduste rakendamist pikaajaliste haavatavuste osas puhtaks saanud.

Septembris 2020 krüptouurijad Braydond Fuller ja Javed Khan avaldatud paber, mis paljastab BTC-le ehitatud kahe kihi lahenduste, nagu Lightning Network, "kõrge" raskusastme haavatavuse. Vaatamata haavatavusele ja autorite hinnangul puutus vektoriga kokku 50% Bitcoini sõlmedest, ei tuvastanud autorid ühtegi katset nõrkust ära kasutada.

Allikas: https://cointelegraph.com/news/patched-vulnerability-could-ve-crippled-eth-over-the-past-2-years-ethereum-foundation