Ethereum Software Parity será atualizado após bug crítico detectado

Um bug crítico de consenso foi descoberto em um ambiente de teste usado por um dos dois principais softwares cruciais para a operação do segundo maior blockchain do mundo.

Revelado ontem à noite pela Parity Technologies, sediada no Reino Unido, em umpostagem de blog, descobriu-se que o problema fazia com que aqueles que executavam o software ficassem fora de sincronia, o que significa que outros que usavam software diferente não reconheceriam suas transações. Embora a vulnerabilidade tenha sido encontrada em uma testnet, a preocupação é que ela possa ser explorada na mainnet também.

Por isso, a Parity agora está pedindo a todos os usuários que atualizem seus softwares para uma versão com novos patches.

Dados disponíveis publicamente

sugere que o bug pode ter impactado cerca de 30 por cento da rede Ethereum – aqueles que usam software emitido pela Parity para permanecerem sincronizados com a rede mais ampla. Mas, de acordo com representantes da Parity, o problema foi corrigido antes de atingir os nós que operam o blockchain Ethereum ao vivo.

Ainda assim, as empresas precisam atualizar para o novo software para permanecerem protegidas da vulnerabilidade na rede principal.

Falando no Twitter, várias empresas,incluindo pool de mineração Bitfly, declararam que atualizaram seu software para a nova iteração protegida (1.10.6-stable ou 1.11.3-beta).

À medida que as empresas que operam no Ethereum começam a atualizar seus softwares para evitar o problema, foi teorizado que ainda poderia impactar qualquer blockchain que execute o software Parity, incluindo usuários do Ethereum Classic (ETC).

A notícia da vulnerabilidade chega num momento em que a Parity estásob escrutínio crescente para vários problemas de segurança semelhantes. Mais notavelmente, em novembro passado, um bug em uma das ofertas de carteira da empresa levou 513.774,16 ETH, ou US$ 311 milhões de acordo com as métricas atuais, a serem congelados e, por sua vez, inacessíveis aos seus proprietários.

A discussão sobre se os fundos congelados devem ser devolvidos está em curso, mas, entretanto,A paridade declarouseu compromisso com um processo de segurança refinado, escrevendo:

"Gostaríamos que nossos bugs fossem um catalisador para um desenvolvimento mais seguro do Ethereum ."

Três linhas de código

Em declarações ao CoinDesk, Wei Tang, um desenvolvedor da Parity que ajudou com o patch de código de ontem, disse que o bug está vinculado a um pedaço de código da proposta de melhoria do Ethereum (EIP) 86.

Anteriormente planejado para a atualização do ethereum no ano passado, o EIP 86 visava introduzir o que é chamado de "abstração de conta", permitindo que transações fossem enviadas sem uma assinatura do remetente. A atualização completa do Ethereum para o EIP 86 foi adiada devido à sua complexidade, no entanto, Wei explicou que a Parity, no entanto, implementou o código, possivelmente devido ao seu papel no ethereum próxima mudança de consenso.

De acordo com Wei, a equipe responsável pela implementação no software da Parity ignorou três linhas de código que levaram ao problema de consenso de ontem.

"Perdemos uma verificação condicional em nosso código que fez com que o nó completo Parity aceitasse um bloco contendo transações inválidas", disse Wei ao CoinDesk.

Várias dessas transações foram descobertas na rede de testes Ropsten ontem e, devido à incompatibilidade das transações com o blockchain Ethereum mais amplo, as transações levaram a uma bifurcação entre os clientes da Parity e da Geth (o maior fornecedor de software Ethereum , respondendo por 60% dos usuários).

Em um comunicado à imprensa, Kirill Pimenov, chefe de segurança da Parity, disse que, no "pior caso", tais transações teriam resultado em blocos corrompidos na rede principal do Ethereum que "ainda seriam tratados como válidos por outros nós afetados do Ethereum da Parity".

Dado poder de hash suficiente, tal exploração resultaria em uma divisão da blockchain, continuou Pimenov.

"A resposta a essa situação foi proativa, o que significa que fomos capazes de preparar uma correção antes que alguém conseguisse realmente explorar o bug. Como resultado, conseguimos evitar uma divisão da mainnet", Pimenov declarou no press release.

Wei concordou, dizendo que a correção, que foi lançada há poucas horas, era simples.

"Adicionamos essas três linhas da verificação condicional ausente em nosso código", disse Wei ao CoinDesk, acrescentando:

"Mas sim, essas três linhas têm efeito severo. Também temos muitos olhos para revisar o código durante o processo."

Botão vermelho de emergênciaimagem via Shutterstock