Ethereum Software Parity verrà aggiornato dopo il rilevamento di un bug critico

È stato scoperto un bug critico nel consenso in un ambiente di test utilizzato da ONE dei due principali software essenziali per il funzionamento della seconda blockchain più grande al mondo.

Rivelato ieri sera da Parity Technologies, con sede nel Regno Unito, in unpost del blog, si è scoperto che il problema causava la perdita di sincronizzazione di coloro che eseguivano il software, il che significa che altri che utilizzavano software diversi non avrebbero riconosciuto le loro transazioni. Mentre la vulnerabilità è stata trovata su una testnet, la preoccupazione è che potrebbe essere sfruttata anche sulla mainnet.

Per questo motivo, Parity invita tutti gli utenti ad aggiornare il proprio software a una versione appena patchata.

Dati disponibili al pubblico

suggerisce che il bug potrebbe aver avuto un impatto su circa il 30 percento della rete Ethereum , ovvero quella che utilizza software rilasciato da Parity per rimanere sincronizzata con la rete più ampia. Ma secondo i rappresentanti di Parity, il problema è stato risolto prima che raggiungesse i nodi che gestiscono la blockchain Ethereum live.

Tuttavia, le aziende devono aggiornare il software al nuovo per proteggersi dalla vulnerabilità della rete principale.

Parlando su Twitter, diverse aziende,incluso il pool di mining Bitfly, si sono fatti avanti per dichiarare di aver aggiornato il loro software alla nuova iterazione protetta (1.10.6-stable o 1.11.3-beta).

Poiché le aziende che operano su Ethereum iniziano ad aggiornare il loro software per evitare il problema, è stato teorizzato che potrebbe comunque avere un impatto su tutte le blockchain che eseguono il software Parity, compresi gli utenti di Ethereum Classic (ETC).

La notizia della vulnerabilità arriva in un momento in cui Parity è statasotto esame più approfondito per diversi problemi di sicurezza simili. In particolare, lo scorso novembre, un bug in ONE delle offerte di portafoglio dell'azienda ha portato al congelamento di 513.774,16 ETH, ovvero 311 milioni di $ secondo le metriche attuali, rendendoli a loro volta inaccessibili ai loro proprietari.

È in corso la discussione se i fondi congelati debbano essere restituiti, ma nel frattempo,La parità è stata dichiaratail suo impegno verso un processo di sicurezza raffinato, scrivendo:

"Vorremmo che i nostri bug fungessero da catalizzatore per uno sviluppo più sicuro Ethereum ."

Tre righe di codice

Parlando con CoinDesk, Wei Tang, uno sviluppatore di Parity che ha collaborato alla patch del codice di ieri, ha affermato che il bug è collegato a un pezzo di codice della proposta di miglioramento Ethereum (EIP) 86.

In precedenza pianificato per l'aggiornamento di Ethereum lo scorso anno, EIP 86 mirava a introdurre quella che viene chiamata "astrazione dell'account", consentendo l'invio di transazioni senza una firma del mittente. L'aggiornamento completo Ethereum a EIP 86 è stato posticipato a causa della sua complessità, tuttavia, Wei ha spiegato che Parity ha comunque implementato il codice, probabilmente a causa del suo ruolo in Ethereum prossimo cambio di consenso.

Secondo Wei, il team incaricato di implementarlo nel software Parity aveva trascurato tre righe di codice che avevano portato al problema di consenso di ieri.

"Abbiamo saltato un controllo condizionale nel nostro codice che ha fatto sì che il nodo completo Parity accettasse un blocco contenente transazioni non valide", ha detto Wei a CoinDesk.

Ieri sono state scoperte diverse transazioni di questo tipo sulla rete di test Ropsten e, a causa dell'incompatibilità delle transazioni con la blockchain Ethereum più ampia, le transazioni hanno portato a un fork tra i client Parity e Geth (il più grande fornitore di software Ethereum che rappresenta il 60 percento degli utenti).

In un comunicato stampa, Kirill Pimenov, responsabile della sicurezza di Parity, ha affermato che nel "caso peggiore" tali transazioni avrebbero prodotto blocchi corrotti sulla rete principale Ethereum che "sarebbero comunque considerati validi dagli altri nodi Ethereum Parity interessati".

Con un hashpower sufficiente, un simile exploit comporterebbe una divisione della blockchain, ha continuato Pimenov.

"La risposta a questa situazione è stata proattiva, il che significa che siamo stati in grado di preparare una correzione prima che qualcuno potesse effettivamente sfruttare il bug. Di conseguenza, siamo riusciti a evitare una divisione della mainnet", ha affermato Pimenov nel comunicato stampa.

Wei ha ribadito la stessa opinione, affermando che la correzione, resa nota solo poche ore fa, è semplice.

"Aggiungiamo quelle tre righe del controllo condizionale mancante al nostro codice", ha detto Wei a CoinDesk, aggiungendo:

"Ma sì, queste tre linee hanno un effetto grave. Abbiamo anche molti occhi per rivedere il codice durante il processo."

Pulsante di emergenza rossoimmagine tramite Shutterstock