長らく予定されていたイーサリアムの「コンスタンティノープル」アップグレードは、
変更点の内の1つに、致命的な脆弱性が発見されて、延期されることになりました。
スマートコントラクトの監査法人であるChainSecurity社は、
火曜日に、イーサリアムの改善提案(EIP1282)がもし実行されれば、
ユーザーの資産を盗むことが可能となる抜け穴を攻撃者に与えうると注意しました。
招集では、開発者やクライアント、そして他のプロジェクトを稼働させているネットワークは、
この問題を調査する一方で、少なくとも仮の状態でこのハードフォーク延期に合意しました。
参加者には、イーサリアムの創設者である Vitalik Buterin氏や、
数あるメンバーの中でも、開発者のHudson Jameson氏、Nick Johnson氏、Evan Van Ness氏、
そしてパリティリリースマネージャーのAfri Schoedon氏が含まれていました。
新たなハードフォークの日付は、金曜日のイーサリアム開発者の招集で決定されるとのことです。
オンライン上で、脆弱性を議論し、同プロジェクトのコアメンバーは、
協定世界時で1月17日の四時に実行を予定しているハードフォーク前では、
バグの修正にとても時間がかかり、修正は不可能という結論に達しました。
リエントランシーアタックは、本質的に攻撃者が、ユーザーにその状態のアップデート無しで、
同じ機能を時間操作によって”再侵入”を許可します。
この筋書きに沿って、攻撃者は本質的に「資金を無限に引き出すことが可能」だとコインデスクの前回の取材に対し、
ブロックチェーン分析企業のAmberdataのCTO(最高技術責任者)、Joanes Espanolはそう話していました。
彼は、下記のように説明しています。
私のコントラクトが、また別のコントラクトを呼びだす機能を想像してみて下さい…
もし私がハッカーで、前回の機能が実行されている内に、
現在の機能を実行できるのであれば、私は資産の引き出しが可能でしょう。
これは、2016年に発見された脆弱性の内の1つの中でも、
悪名高いDAO攻撃事件と非常に類似しています。
ChainSecurity社の投稿では、コンスタンティノープル実行前に、
ネットワーク上での記憶作業は、5000ガスの費用がかかり、
”転送”と”送金”のコントラクトを利用する際は、通常2300を超えるガスが送られます。
しかしながら、もしアップデートが実行されれば、”汚れた”記憶作業は、200ガスの費用となります。
攻撃者が利用するコントラクトは、コントラクトの変数の脆弱性を不正操作して
2300ガスの報酬を無事獲得出来てしまうことになります。
コンスタンティノープルは以前、昨年に実行される予定ではありましたが、
Ropstenと呼ばれるテストネットでアップグレードを公開中に問題が発見されてからは、遅延していました。
引用元:Ethereum’s Constantinople Upgrade Faces Delay Due to Security Vulnerability