1
以太坊君士坦丁堡升級延遲
關於以太坊硬分叉延遲,昨天文中提了一嘴,沒有細聊,其實最近這一個月ETH的行情有一部分因素也是來自於對硬分叉,或者更確切的說,不叫分叉,叫升級的預期。
對於歷史上的君士坦丁堡來說,舊土耳其帝國使用火藥和大炮摧毀了這座曾經堅不可摧的城牆,而對於以太坊自己的君士坦丁堡來說,攻擊變數是潛在,難以預測的。如今,這次升級因一個不可預見的漏洞而推遲。
15日,一家智慧合約審計公司chainiss發表了一篇文章(https://medium.com/chainsecurity/constantinople-enables-new-reentrancy-attack-ace4088297d9),其中指出此次升級存在“重入攻擊”漏洞。當天晚些時候,Ethereum基金會宣佈,根據社羣意見,將推遲此次君士坦丁堡升級,同時向各類客戶端提供了緊急修復補丁(此次漏洞對使用者無太大影響)。
2
什麼是“重入攻擊”?
根據ChainSecurity的文章,在對全網掃描過程中並未發現有可疑的合約,但由於曾經的DAO事件,社羣還是傾向於謹慎行事。
可重入性攻擊只會影響到某一類智慧合約,其型別與2016年讓駭客從DAO內盜取5000萬美元ETH的合約類似。
攻擊者首先將自己的部分資金存入多方智慧合約。然後,他們會來提取他們存入的資金----這是合法的----但在存款和提取的資金餘額結算之前,會透過某一個合約來觸發超出存款價值的資金提取,從合約中偷取其他使用者的資金。
這一漏洞原本是被修復的,只是在這次君士坦丁堡升級中的其中一個提案,將在智慧合約中控制儲存和重新寫入資料的gas成本從5000降到了200,而價格的下降使得攻擊者有可能透過欺騙合約來改變一個本應保持不變的變數,例如智慧合約中不同當事方之間的支付比例。也就是說給這類“重入攻擊”提供了可能性。
從bug披露到社羣決定延期這中間僅花了9個小時,索性被及時發現,不然這後面要是再來一次DAO那種事件,這大熊市的,位元可真要去3000美元以下了哈。
3
以太坊、智慧合約的未來何去何從
至於升級會延遲到什麼時候,最早本週五會有訊息。昨天這個延遲的訊息,看了下對市場行情並無太大影響,感覺對分叉這一波的預期行情也差不多了。
國內貌似昨天都去關注grin挖礦去了,也似乎對於以太坊的跳票習以為常了吧,也畢竟人家曾經牛逼過,即便熊市裡跌去這麼多,也聽不到什麼罵聲,反而海外還能經常聽到點關於以太坊的爭議,比如智慧合約這麼多漏洞bug的到底能不能行。
昨天看某個群內的共識:
如果熊市沒囤大餅、以太坊,那牛市與你無關;
如果熊市囤了柚子,那牛市依舊與你無關。
現在EOS上有很多問題,不定時就有個駭客攻擊事件什麼的,但這樣看來,以太坊也沒高到哪裡去,只是EOS離我們近一點,ETH有些訊息你看不到罷了,也還是會有隱藏的問題、潛在的風險。
關於智慧合約,可能很多時候也只能走一步看一步,發現問題了去解決問題,我不知道現在是不是還可以歸於早期,未來會慢慢成熟,或是會有更好更安全的方式來做價值轉移。
而今天聊這個問題,也是想提醒兩點:
1. 公鏈、智慧合約平臺是有技術漏洞方面的潛在風險,也應當做投資風險來引起注意,特別是短期持有者,要注意資金管理,往往黑天鵝發生時變盤都是瞬間的事。
2. 你看排名在前的專案尚且如此,那其他的山寨小野幣就完全沒問題?恐怕只是沒那麼多關注,沒人發現罷了。那些特喜歡吹牛逼的,看看就好,或是跟著投機一把,但別當真。會遇到各種問題,一個坑一個坑踩過來,才是日常。
結語
我知道大部分人不會太關注技術層面的東西,但如果以太坊這次漏洞沒有被發現,再被駭客利用搞事情。。這個市場就真的是又要被使勁擠泡沫了,想想有沒有後怕?
參考文章:https://breakermag.com/what-we-know-about-the-vulnerability-behind-ethereums-rollback-of-constantinople/
溫馨提示:以上內容僅供參考,請勿直接作為投資依據,數字貨幣市場風險較大,還請謹慎參與!
如果您覺得此文對您有用,也希望能幫我們一個忙,轉發給您身邊的幣友,我們希望能消除更多人對於數字貨幣的種種誤解,也希望更多人能少走彎路,多多賺錢~
本文作者:佩佩 風火輪區塊鏈
