Ethereum hardfork tot nader order uitgesteld wegens veiligheidsrisico

Auditkantoor ChainSecurity kwam dinsdag met het bericht naar buiten. Indien EIP-1283 in gebruik zou worden genomen, zou het aanvallers de mogelijkheid kunnen geven om het geld van gebruikers te stelen. In een telefonische vergadering kwamen Ethereum-ontwikkelaars en andere betrokkenen tot de conclusie om de upgrade tot nader order uit te stellen.

De nieuwe richtdatum voor de upgrade wordt aanstaande vrijdag vastgesteld:

Out of an abundance of caution regarding the invariant broken by EIP1283 discovered by @chain_security, the Constantinople fork will be postponed & the EIP will not be part of Constantinople when it occurs. New fork date chosen on Fri

New client hotfixes releases available soon

— Evan Van Ness (@evan_van_ness) January 15, 2019

Volgens Coindesk was Vitalik Buterin een van de deelnemers aan de vergadering. Daarnaast zouden ontwikkelaars Hudson Jameson, Nick Johnson, Evan van Ness, en releasemanager Afri Schoedon er bij zijn geweest.

De beslissing om uit te stellen volgde op de conclusie dat het te lang zou duren om de bug in de code op te lossen voordat de hardfork zou plaatsvinden. In dat geval zou een aanvullende technische upgrade nodig zijn, en dat heeft organisatorisch en technisch gezien een te grote impact.

De aanval die gedaan zou kunnen worden door de bug te misbruiken wordt een reentrancy attack genoemd. Simpel gezegd kan een kwaadwillende dezelfde functie in een contract meerdere keren uitvoeren zonder de gebruiker op de hoogte te stellen van het gevolg van die functie. Zo zou een aanvaller geld op kunnen blijven nemen, zonder dat de gebruiker het door heeft.

Deze kwetsbaarheid in de code is vergelijkbaar met een bug die in de inmiddels beruchte DAO-aanval (2016) is misbruikt. Het toepassen van Constantinople stond van origine vorig jaar al op de planning. Dat werd uitgesteld naar deze week, maar ook dat blijkt onhaalbaar.