Виправлена ​​вразливість могла підірвати ETH за останні 2 роки: Ethereum Foundation

Фонд Ethereum опублікував допис у блозі, в якому описано потенційно катастрофічну вразливість, яка могла призвести до збою основної мережі з менш ніж п’ятизначною ціною до моменту виконання Берлінський хардфорк минулого місяця.

А 18 травня блог описує вразливість як «серйозну загрозу для платформи Ethereum», доки оновлення в квітні не дозволили їй уникнути кулі.

У звіті загроза описується як «відкрита таємниця», зазначається, що колись вона була оприлюднена помилково. Після реалізації Берлінського хардфорку фонд вважає загрозу достатньо низькою, щоб виправдати повне розкриття інформації на даний момент, зазначаючи:

«Важливо, щоб спільнота отримала можливість зрозуміти причину змін, які негативно впливають на взаємодію з користувачем, наприклад підвищення вартості газу та обмеження відшкодування».

У дописі зазначено, що стан Ethereum складається з патриції-меркле, концептуально порівнюючи нові облікові записи в мережі Ethereum з новим листям, що росте на дереві. З зростання мережі Ethereum, з жовтня 2016 року було запроваджено збільшення витрат на газ для захисту від атак на відмову в обслуговуванні, включаючи суперечливу пропозицію щодо вдосконалення Ethereum або EIP-1884.

# ЕфіріумDoS, якого так і не було.

Більше року мережу можна було збити з кількома тисячами доларів. Оскільки ми залишили це в минулому, настав час пролити світло на ті неспокійні часи.https://t.co/xbPgbyWpcp

- Go Ethereum (@go_ethereum) Травень 18, 2021

У 2019 році дослідники безпеки Ethereum Губерт Рітцдорф, Маттіас Еглі та Даніель Перес об’єдналися, щоб використати експлойт, створений завдяки нещодавнім оновленням, при цьому атака запускала випадкові пошуки спроб, які могли «призвести до блокування в хвилинному діапазоні». А звітом опублікованому того року, зазначено, що затримки, спричинені атакою, будуть довшими, оскільки стан Ethereum зростатиме, «що дозволяє ефективні DoS-атаки проти Ethereum».

Після того, як протягом 2020 року різні пропозиції від розробників були відхилені, Віталік Бутерін об’єднався з Мартіном Свенде, щоб створити EIP-2929 і EIP-2930 — оновлення, які підняли ціни на газ «тільки для речей, до яких ще немає доступу», щоб запобігти атаці. EIP були представлені разом із берлінським оновленням 15 квітня 2021 року. Таким чином, за оцінками блогу, берлінське оновлення знизило ефективність експлойту в 50 разів.

Ethereum — не єдина мережа, яка визнає довготермінову вразливість після впровадження оновлень для захисту від згаданих експлойтів.

У вересні 2020 року криптодослідники Брейдонд Фуллер і Джавед Хан опублікований документ, що розкриває вразливість «високого» рівня для рішень другого рівня, створених на основі BTC, таких як Lightning Network. Незважаючи на те, що вразливість була представлена, і автори оцінюють, що 50% вузлів біткойн були піддані впливу вектора, автори не виявили жодних спроб використання цієї слабкості.

Джерело: https://cointelegraph.com/news/patched-vulnerability-could-ve-crippled-eth-over-the-past-2-years-ethereum-foundation