Feb 17, 2019

Vitalik Buterin weist Gerüchte über Angriffsvektor von neuem Constantinople Feature ab

1328 Total views
3 Total shares
Nachricht

Der Mitbegründer von Ethereum (ETH), Vitalik Buterin, und andere Kernentwickler haben Vorwürfe zurückgewiesen, dass eine neue intelligente Vertrag serstellungsfunktion, die in der bevorstehenden Constantinopel-Hard-Fork veröffentlicht wird, negative Auswirkungen auf die Sicherheit haben wird. Die Diskussion fand am 15. Februar im Rahmen eines Aufrufs von Ethereum Core Developer statt.

Das fragliche Feature heißt "Create2" — als Ethereum Improvement Proposal (EIP) EIP-1014 bezeichnet — und soll Interaktionen mit einem Vertrag ermöglichen, der noch nicht in der Blockchain existiert — insbesondere Adressen, die noch nicht auf der Blockchain existieren, aber man kann sich darauf verlassen, dass möglicherweise nur eventuell Code enthalten ist."

Mehrere ETH-Entwickler hatten Bedenken geäußert, dass Create2 einen potenziell schwerwiegenden Angriffsvektor in das Netzwerk einführen könnte, da intelligente Verträge angeblich so kodiert werden könnten, dass sie ihre Adresse nach der Bereitstellung ändern. Man hatte sich gefragt, ob das Feature nicht "bedeutet, dass ein Vertrag, der nach Constantinopel mit einer Selbstzerstörung [Funktion im Code] stattfindet, jetzt verdächtiger ist denn je?"

In einer Besprechung dieser und anderer Kommentare unterstrich Jeff Coleman, dass „eine der kontraproduktiven Dingen von Create2 darin besteht, dass theoretische Umverteilungen den Bytecode des Vertrags ändern können, da die Adresse nur eine Verpflichtung zum Init-Code ist. Die Leute müssen wissen, dass Init-Codes Teil des Audits sind [...] und nicht-deterministische Init-Codes ein Problem darstellen. "

Coleman betonte, dass diejenigen, die den Code anderer prüfen möchten, auf potenziell "seltsame Phänomene" [...] achten müssen, insbesondere wenn Sie Create2 mit Create1 kombinieren, da letztere eine sehr schwache Annahme hinsichtlich der Adressidentität hat, egal was auch immer sie ist. " Er fügte hinzu:

„Wenn wir uns darauf freuen, [...] wo wir enden wollen, müssten alle [...] Adressen über den init-Code vertraglich vergeben werden. Wir brauchen eine inhaltliche Adressierung von Verträgen und nicht nur eine auftragsbezogene Adressierung, wie Create1 ist. Wenn wir also an dort gelangen, wo Create2 Standard ist, beseitigen Sie die Selbstzerstörung vollständig [...], und wir könnten diese Vorstellung von einer Vertrags-Nonce verwerfen. "

Wie Coleman besprach Vitalik Buterin Create2 im Hinblick auf eine längerfristige Roadmap und sagte:

„Das einzige, was wir im Auge behalten müssen, ist mehr für die Zukunft, wenn wir über Mieten und Löschung nachdenken. Dies ist ein Weg, der dazu führen kann, dass Verträge in einem Zustand sind, in dem sie sich nicht in einem Zustand ohne Selbstzerstörungsoperation befinden [...]. Das müssen wir in den nächsten Wochen nicht herausfinden, aber es ist dennoch nützlich, daran zu denken, wenn der ETH 2.0-Sharding sehr bald auf eine VM-Spezifikation eingestellt wird."

Abgesehen von Create2 stellten die Entwickler fest, dass sie ein potenziell unabhängiges Unternehmen für Benchmark-Tests eines ASIC-resistenten Proof-of-Work-Algorithmus ("ProgPoW") gefunden haben.

Nach der Abstimmung für die Implementierung des Algorithmus, während Ethereum sich weiter zu seinem endgültigen Ziel von Proof-of-Stake (PoS) entwickelt, hatten die Entwickler kürzlich beschlossen, die Einführung zu verschieben, bis eine Prüfung durch Dritte abgeschlossen ist. Eine laufende, informelle Online-Abstimmung über die Umsetzung von ProgPoW spricht für die Mehrheit.

Auf Twitter folgen

CT empfiehlt
Pressemitteilungen