Еще одна уязвимость в Constantinople

0
441

Новый баг найден в долгожданном хардфорке Constantinople, однако разработчики уверяют, что переноса сроков не будет, обновление произойдет в период между 26 и 28 февраля.

В Ethereum Foundation рассказали подробности о новой уязвимости, найденной в коде обновления Константинополь. Баг касается смарт-контрактов с функцией самоуничтожения. Одна из функций, проходящая у разработчиков под названием «Create2» способна заменить смарт-контракт, действие которого уже закончилось и он самоуничтожился. При этом, программа Create2 меняет правила контракта с целью хищения средств.

Сама по себе опция самоуничтожения контракта никакой опасности не несет в текущем варианте кода. Однако после внедрения Constantinople, код функции можно будет использовать для того, что изъять все монеты, которыми оперирует смарт-контракт. Так объяснил суть уязвимости Джейсон Карвер, один из программистов Ethereum Foundation.

В качестве рекомендаций для пользователей Карвер предлагает разобраться сначала, присутствует ли в коде данного смарт-контракта опция самоуничтожения. Если да, то должен также быть соблюден соответствующий период ожидания или неактивности. Если этот период отсутствует, от смарт-контракта лучше отказаться.

В качестве решения проблемы озвучено предложение дополнить код опции Create фрагментом, который защитит контракт от вторичного воспроизведения после его окончания.

Как сообщают разработчики хардфорка, эта проблема не внесет корректив в сроки запуска Constantinople, которые назначены на 27 февраля. Напомним, ранее апгрейд а уже отложили из-за серьезных проблем в коде EIP-1283.

ОСТАВЬТЕ ОТВЕТ

Please enter your comment!
Please enter your name here