今日稍早,以太坊发布官方公告表示,决定延迟君士坦丁堡(Constantinople)升级,以太坊主要客户端 Go-Ethereum(Geth)和 Parity 相应发布软件更新版本。
区块链安全研究公司 Chain Security 于 1 月 15 日发现君士坦丁堡计划中的 EIP 1283 存在安全漏洞。有鉴于此,以太坊当天进行开发者电话会议,一致决议延迟网络升级,唯具体升级时间待定。
据了解,若该漏洞被滥用则有可能会再次发生攻击事件,允许攻击者多次从同个来源撤回资金。由于主流客户端软件已在硬分叉前进行更新,为了避免硬分叉的发生,一些主要的以太坊应用开发人员已陆续发布最新版本。
Geth 发布了“紧急修补程序(版本 1.8.21)”,旨在延迟升级。开发人员 Péter Szilágyi 指出,若有用户不想升级到 1.8.21 版本,他们也可以将现有客户端降级到 1.8.19 版本,或可仍旧使用 1.8.20 版本,但前提必须使用“‘–override.constantinople=9999999”,进而延迟硬分叉。
至于 Parity 的用户,该公司安全负责人 Kirill Pimenov 建议将现有客户端升级到 2.2.7(稳定版本)或 2.3.0(测试版),较不推荐降级到 2.2.4(测试版)。他解释道,“将 Parity 降级到君士坦丁堡之前的版本是一个坏主意,我们不建议任何人这么做。从理论上来讲,虽然它可以延迟硬分叉的发生,但我们不想处理这个较不理想的状况”。
既是以太坊硬分叉贡献者、Parity 的 Release Manager Afri Schoedon 亦公开表示,“虽然 2.3.0(测试版)及 2.2.4(测试版)是可以使用,但我建议使用 2.2.7(稳定版本)”。
以太坊核心开发人员 Hudson Jameson 强调,任何“不运行节点”、“以其他方式参与网络的人”、“钱包用户”或“代币持有者”,均不需做任何事情。他还提到,“智能合约所有者也无需有任何行动,但‘可以选择检查潜在漏洞的分析,并检查你的合约’,而引入该漏洞的更改将不会被启用”。
截至以太坊发布消息之时,Chain Security 和 TrailOfBits 的安全研究人员仍在分析整个区块链。
目前为止,以太坊实时合约中并没有发现漏洞的实例。然而,Jameson 指出“部分合约可能还是会受到影响”。
Chain Security 首席运营官 Matthias Egli 解释说,EVM 的核心开发人员不可能轻易发现此漏洞。但他还表示,“我认为这是个正确的决定,至少让研究人员有时间评估影响。这个(EIP 1283)很有可能被收回,将它排除在硬分叉之外,现在可能会延迟一个月”。
区块客致力于发掘和整理各种与区块链技术有关的内容,只要与区块链或区块客网站有关的合作和/或建议,我们都非常欢迎。请您发电邮至 [email protected] 与我们联系。
