اتریوم خبرها

نگرانی توسعه دهندگان از آسیب پذیر امنیتی در هاردفورک اتریوم

ethereum-hard-fork-Constantinople
نوشته شده توسط xan

توسعه دهندگان اتریوم از آسیب پذیری بالقوه امنیتی در شیوه جدید ویژگی ایجاد قرارداد هوشمند که در کدبیس هارد فورک آتی کنستانتینوپول وجود خواهد داشت ابراز نگرانی کردند.

در نشست توسعه دهندگان که در 26 بهمن برگذار شد، ویتالیک بوترین موسس اتریوم  به این نگرانی های این طور پاسخ داد که اصلاحات و تغییرات برنامه ریزی شده کدبیس، هیچگونه آسیب پذیری در بلاک چین اتریوم ایجاد نخواهد کرد.

طبق بیانیه سایر توسعه دهندگان اتریوم، ویژگی skinny CREATE2 که بخشی از پروپوزال بهبود اتریوم یا EIP 1014 می‌باشد ممکن است تهدید امنیتی بالقوه ای وارد شبکه اتریوم کند. ویژگی skinny CREATE2 به کاربران امکان می‌دهد تا با قراردادهای هوشمندی که هنوز بر بستر بلاک چین اتریوم صادر نشده اند تعامل داشته باشند.

طبق توضیحات توسعه دهندگان اتریوم، این ویژگی، تعامل با آدرس هایی که هنوز بر روی زنجیره موجود نمی‌باشند اما می‌توانند حاوی کد باشند را امکان پذیر می‌سازد. این ویژگی ممکن است مورد سو استفاده قرار گیرد زیرا قراردادهای هوشمند می‌توانند طوری برنامه نویسی شوند تا پس از صادر شدن، آدرس خود را تغییر دهند.

محققان اتریوم ابراز نگرانی می کنند

راجیو گوپالاکریشنا (Rajeev Gopalakrishna) یکی از محققان اتریوم و امنیت سایبری بیان کرد که ویژگی CREATE2 ممکن است تاثیرات منفی امنیتی بر شبکه اتریوم داشته باشد. گوپالاکریشنا که فارغ التحصیل مقطع دکترا در رشته علوم کامپیوتر از دانشگاه پوردو است توضیح داد که در موارد خاص، استفاده از ویژگی CREATE2 ممکن است به هکر امکان دهد تا قراردادهای هوشمند بی خطر قبلی را با قراردادهای هوشمند آلوده جایگزین کند.

هارفورک اترویم

جیسون کارور یکی از مهندسان بنیاد اتریوم در این خصوص، بیان کرده است که می‌توان با استفاده از ویژگی CREATE2 با جایگزین کردن قراردادهای منقضی شونده با نسخه های جدیدتر حمله های بالقوه انجام داد.

منشاء این سوال از اوایل ماه جاری با سوال گوپالاکریشنا که این طور مطرح شده بود، ایجاد شد:

  •  آیا این ویژگی دربروز رسانی جذید باعث حمله های جدی نمی‌شود؟
  • آیا بدان معنا نیست که قراردادهای هوشمند منقضی شونده پس ازفعالسازی کنستانتینوپول بیش از پیش مشکوک‌ می‌شوند؟

واکنش توسعه دهندگان

جف کولمن توسعه دهنده اتریوم در پاسخ به این پرسش ها اذعان داشت:

یکی از موضوعات درباره ویژگی CREATE2 این نکته می‌باشد که از نظر تئوری، اجرای مجدد می‌تواند بایت کد قرارداد را تغییر دهد، زیرا آدرس فقط تعهد به کد اولیه است. کاربران باید آگاه باشند که کدهای شروع به کار یا اولیه بخشی از حسابرسی می‌باشند و کدهای اولیه غیرقطعی یک‌ مشکل به حساب می‌آیند‌.

طبق سخنان نوئل مائرسک توسعه دهنده بلاک‌ چین، ویژگی منقضی شوندگی ممکن است تاثیرات منفی امنیتی نداشته باشند. مائرسک هم چنین اذعان کرد که افزودن کد اولیه غیرقطعی به قراردادهای بلاک‌ چین حاوی ویژگی CREATE2 می‌تواند باعث ایجاد خطر حملات شود.

علاوه بر این، کولمن خاطر نشان کرد

توسعه دهندگانی که در صدد حسابرسی کدهای نوشته شده توسط سایر برنامه نویسان را دارند باید به دنبال پدیده های عجیب باشند، مخصوصا اگر CREATE1 و CREATE2 را ترکیب کنید، زیرا CREATE1 فارغ از اینکه چه نانسی است، عملکرد ضعیفی در خصوص هویت آدرس ها دارد.

تاثیرات CREATE2  و خط مشی بلندمدت اتریوم

کولمن بیان کرد اگر CREATE2 به صورت استاندارد درآید، ایده دست کشیدن از نانس قرارداد امکان پذیر می‌شود. وی نیاز به آدرس دهی بر اساس محتوای قراردادهای هوشمند به جای اتکا به آدرس دهی بر اساس سفارش را بیان داشت.

بوترین نیز درباره تاثیرات CREATE2  و خط مشی بلندمدت اتریوم صحبت کرد و‌ گفت:

نکته ای که باید در خاطر داشته باشیم، برنامه ریزی برای آینده است و این مسیری است که باعث می‌شود قراردادها در شرایطی قرار بگیرند که خود منقضی شونده و تخریبی نباشند. این موضوعی نیست که در چند هفته آینده متوجه آن شویم. اما هنگام وارد شدن شاردینگ اتریوم ۲.۰ به ماشین مجازی، به خاطر داشتن این موضوع مفید است.


منبع cryptoglobe

درباره نویسنده

xan

xan
Student of pure mathematics
Interested in the technology of the day and cyberspace

یک نظر

نظر بدهید