Vào ngày 16/01, các nhà phát triển Ethereum đã đưa ra một cảnh báo bảo mật rằng họ đã phải hoãn việc nâng cấp Constantinople theo như lịch trình. Tuy nhiên, không phải ai làm theo đúng kế hoạch. Hiện tại, đang có một đồng Ethereum khác đang tồn tại song song với đồng cũ. Một đợt hard fork không chính thức đã xảy ra và một số thợ đào đang đang khai thác trên chuỗi Constantinople mà không có sự đồng thuận từ phần lớn mạng lưới.
Không phải ai cũng cập nhật để dừng nâng cấp
Việc Ethereum hoãn hard fork là bất khả kháng sau khi các lỗ hổng tiềm năng được phát hiện ra trong những nâng cấp mới. Như tuyên bố chính thức cho biết:
Chúng tôi đang điều tra bất kỳ lỗ hổng tiềm năng nào và sẽ liên tục cập nhật trong bài đăng trên blog này và trên các kênh truyền thông xã hội.
Điều tốt nhất có thể làm trong thời điểm hiện tại là các bên liên quan chính trong cộng đồng Ethereum phải trì hoãn đợt hard fork Constantinople, thứ mà theo kế hoạch sẽ xảy ra tại block số 7.080.000 vào ngày 16 tháng 1 năm 2019.
Mọi người cần cài đặt một phiên bản mới để tránh vi phạm sự đồng thuận.
Nhưng dường như không phải tất cả các thợ đào đều nhận được tin nhắn. Theo báo cáo của Ethdevops.io: ít nhất 10TH/s năng lượng khai thác vẫn đang ở trong chuỗi không chính thức tại thời điểm viết bài.
Không phải ai cũng nhận được tin nhắn này. Có rất nhiều hashpower đang được sử dụng cho Constantinople không chính thức – còn nhiều hơn cả toàn bộ mạng lưới Ethereum Classic. (forkmon.ethdevops.io). Tại thời điểm viết bài, thực sự có nhiều hashrate trên phiên bản lỗi của Ethereum hơn cả trên Ethereum Classic:
Phi rủi ro?
Lỗ hổng trong đợt hard fork Ethereum này cho phép một hình thức lừa đảo đặc biệt mà cần một số mức độ kiến thức nhất định để hiểu. Điểm mấu chốt là sự thay đổi trong cách Ethereum tính phí cho việc lưu trữ đã cho phép một cuộc tấn công có thể tiêu tốn rất nhiều tiền cho các dApps khác nhau. Một nguy cơ bị tấn công tái sinh (reentrancy attack) là rõ ràng với các hợp đồng thông minh. Nó không giống như một cuộc tấn công lặp lại (replay attack) hoặc lặp chi (double spend). Nó là một vấn đề độc nhất vô nhị. ChainSecurance, người đã phát hiện ra mã bị lỗi, giải thích nó theo cách này:
Một số điều kiện tiên quyết phải được đáp ứng để tấn công hợp đồng:
- Phải có chức năng A, trong đó chuyển / gửi được theo sau bởi một hoạt động thay đổi trạng thái. Điều này đôi khi có thể không rõ ràng, ví dụ: một lệnh chuyển khoản thứ hai hoặc tương tác với một hợp đồng thông minh khác.
- Phải có chức năng B có thể truy cập được từ kẻ tấn công, (a) thay đổi trạng thái và (b) có trạng thái thay đổi xung đột với chức năng A.
- Chức năng B cần được thực thi với ít hơn 1600 gas (2300 gas cần – 700 gas cho CALL).
Mặc dù lỗ hổng bảo mật này khó bị khai thác trong blockchain thực tế, nhưng an toàn là trên hết, theo blog chính thức của Ethereum
Các đơn vị bảo mật như ChainSecurity và TrailOfBits đã (và vẫn đang) phân tích toàn bộ blockchain. Họ không tìm thấy bất kỳ trường hợp nào của lỗ hổng này trong thị trường. Tuy nhiên, vẫn có một rủi ro là một số hợp đồng có thể bị ảnh hưởng.
Có thể hiểu được, với một mạng lưới phi tập trung lớn, không thể có được một bản nâng cấp mạng thông qua mọi người một cách kịp thời. Nhìn vào bản đồ node Bitcoin sẽ cho bạn thấy rằng một số phiên bản khác nhau đang hoạt động trên mạng tại một thời điểm nhất định. Một số ít các node khai thác hiện đang khai thác từ hardfork Constantinople như thể nó đã xảy ra, đáng tiếc là không kiếm được bất kỳ Ethereum hợp lệ thực tế nào trong quy trình.
Theo CCN
Ethereum là một nền tảng công nghệ phân quyền, nguồn mở, công cộng dựa trên công nghệ Blockchain. Thay vì sử dụng một hệ thống máy chủ lớn như Google (một hệ thống tập trung), Ethereum cho phép các phần mềm ứng dụng chạy trên mạng lưới các máy tính cá nhân (một hệ thống phi tập trung). Xem thêm…
