Ethereum Foundation сообщил об уязвимости системы безопасности, впервые обнаруженной в 2019 году, которая могла остановить работу основной сети до обновления в Берлине в прошлом месяце.
Ethereum Foundation опубликовал сообщение в блоге, в котором описывается потенциально катастрофическая уязвимость, которая могла привести к выходу из строя основной сети за менее чем пятизначную сумму вплоть до проведения берлинского хардфорка в прошлом месяце.
Сообщение в блоге от 18 мая описывает уязвимость как «серьезную угрозу для платформы Ethereum» до тех пор, пока апрельские обновления не позволили ей увернуться от пули.
В отчете описывается угроза как имеющая было «секретом полишинеля», отмечая, что однажды оно было публично раскрыто по ошибке. После реализации берлинского хард-форка фонд оценивает угрозу как достаточно низкую, чтобы гарантировать полное раскрытие в настоящее время, заявляя:
«Важно, чтобы сообществу была предоставлена возможность понять причину изменений, которые негативно влияют на пользовательский опыт, такой как повышение цен на газ и ограничение возмещения ».
В сообщении подробно говорится, что состояние Ethereum состоит из дерева Патрисии-Меркле, концептуально сравнивая новые учетные записи в сети Ethereum с новыми листьями, растущими на дереве. С ростом сети Ethereum с октября 2016 года были увеличены расходы на газ для защиты от атак типа «отказ в обслуживании», в том числе спорного предложения по улучшению Ethereum или EIP-1884.
# DoS Ethereum, которого так и не было. Более года основная сеть могла быть остановлена с помощью нескольких тысяч долларов. Поскольку мы оставили это в прошлом, пора пролить свет на те смутные времена. Https://t.co/xbPgbyWpcp
— Go Ethereum (@go_ethereum) 18 мая 2021 г.
В 2019 году исследователи безопасности Ethereum Хуберт Ритцдорф, Матиас Эгли и Даниэль Перес объединились, чтобы превратить в оружие эксплойт, включенный в недавние обновления, при этом атака запускает случайные поисковые запросы в дереве, которые могут «привести к блокировкам в минутном диапазоне». В отчете, опубликованном в том же году, говорилось, что задержки, вызванные атакой, будут увеличиваться по мере роста состояния Ethereum, «что позволяет эффективно использовать DoS-атаки против Ethereum».
После того, как различные предложения разработчиков были отклонены в течение 2020 года, Виталик Бутерин объединился вместе с Мартином Свенде разработали EIP-2929 и EIP-2930 — обновления, которые подняли цены на газ «только для вещей, к которым еще нет доступа», чтобы предотвратить атаку. Протоколы EIP были введены вместе с обновлением в Берлине 15 апреля 2021 года. Таким образом, по оценкам блога, обновление в Берлине снизило эффективность эксплойта в 50 раз.
Ethereum — не единственная сеть, о которой стало ясно. долгосрочные уязвимости после внедрения обновлений для защиты от указанных эксплойтов.
В сентябре 2020 года исследователи криптографии Брайдонд Фуллер и Джавед Хан опубликовали документ, раскрывающий уязвимость «высокой» степени опасности для решений второго уровня, построенных на основе BTC, например Lightning Network. Несмотря на введенную уязвимость и, по оценкам авторов, 50% узлов Биткойн были подвержены воздействию вектора, авторы не выявили никаких попыток использования уязвимости.
