Patchet sårbarhet kunne ha lammet ETH de siste to årene: Ethereum Foundation

Ethereum Foundation har publisert et blogginnlegg som skisserer en potensielt katastrofal sårbarhet som kunne ha ført til at hovednettet ble ødelagt til en pris på mindre enn fem-sifret frem til utførelsen av Berlin hardfork forrige måned.

En mai 18 blogginnlegg beskriver sårbarheten som å ha utgjort "en alvorlig trussel mot Ethereum-plattformen" inntil aprils oppgraderinger tillot den å unngå kulen.

Rapporten beskriver trusselen som en «åpen hemmelighet», og bemerker at den en gang ble offentliggjort ved en feiltakelse. Etter implementeringen av Berlin-hardgaffelen anslår stiftelsen at trusselen er lav nok til å garantere full avsløring på dette tidspunktet, og sier:

"Det er viktig at fellesskapet får en sjanse til å forstå begrunnelsen bak endringer som påvirker brukeropplevelsen negativt, for eksempel å øke gasskostnadene og begrense refusjoner."

Innlegget beskriver at Ethereums delstat består av en patricia-merkle trie, som konseptuelt sammenligner nye kontoer på Ethereum-nettverket med nye blader som vokser på et tre. Med vekst av Ethereum-nettverket, har økninger i gasskostnadene blitt implementert fra oktober 2016 for å beskytte mot tjenestenektangrep, inkludert det kontroversielle Ethereum Improvement Proposal, eller EIP-1884.

#Ethereumsin DoS som aldri ble til.

I over et år kunne mainnet blitt redusert med noen få tusen dollar. Ettersom vi har forlatt det tidligere, er det på tide å kaste lys over de vanskelige tidene.https://t.co/xbPgbyWpcp

- Go Ethereum (@go_ethereum) Kan 18, 2021

I 2019 slo Ethereum-sikkerhetsforskerne Hubert Ritzdorf, Matthias Egli og Daniel Perez seg sammen for å bevæpne en utnyttelse som ble aktivert av de siste oppgraderingene, med angrepet som utløste tilfeldige forsøksoppslag som kan «føre til blokkeringstider i minuttet». EN rapporterer publisert det året uttalte at forsinkelser forårsaket av angrepet vil bli lengre ettersom Ethereums tilstand vokser, "noe som tillater effektive DoS-angrep mot Ethereum."

Etter at ulike forslag fra utviklere ble avvist gjennom 2020, slo Vitalik Buterin seg sammen med Martin Swende for å skrive EIP-2929 og EIP-2930 – oppgraderinger som hevet gassprisene «bare for ting som ikke allerede er tilgjengelig» for å forhindre angrepet. EIP-ene ble introdusert sammen med Berlin-oppgraderingen 15. april 2021. Som sådan anslår bloggen at Berlin-oppgraderingen reduserte effektiviteten til utnyttelsen med 50 ganger.

Ethereum er ikke det eneste nettverket som har ryddet opp om langsiktige sårbarheter etter å ha implementert oppgraderinger for å beskytte mot nevnte utnyttelser.

I september 2020, kryptoforskerne Braydond Fuller og Javed Khan publisert et papir som avslører en "høy" alvorlighetssårbarhet for lag-to-løsninger bygget på toppen av BTC som Lightning Network. Til tross for at sårbarheten ble introdusert og forfatterne estimerte at 50 % av Bitcoin-nodene ble utsatt for vektoren, identifiserte ikke forfatterne noen forsøk på å utnytte svakheten.

Kilde: https://cointelegraph.com/news/patched-vulnerability-could-ve-crippled-eth-over-the-past-2-years-ethereum-foundation