Ethereum Foundation опубликовал сообщение в блоге, в котором описывается потенциально катастрофическая уязвимость, которая могла привести к выходу из строя основной сети за менее чем пятизначную сумму вплоть до проведения берлинского хардфорка в прошлом месяце.
Сообщение в блоге от 18 мая описывает уязвимость как «серьезную угрозу для платформы Ethereum», пока апрельские обновления не позволили ей увернуться от пули.
В отчете говорится, что угроза была «секретом полишинеля», и отмечается, что однажды она была публично раскрыта по ошибке.После реализации берлинского хард-форка фонд оценивает угрозу как достаточно низкую, чтобы гарантировать полное раскрытие информации в настоящее время, заявляя:
“It’s important that the community is given a chance to understand the reasoning behind changes that negatively affect the user experience, such as raising gas costs and limiting refunds.”
В сообщении подробно говорится, что состояние Ethereum состоит из дерева Патрисии-Меркле, концептуально сравнивая новые учетные записи в сети Ethereum с новыми листьями, растущими на дереве.С ростом сети Ethereum с октября 2016 года были увеличены расходы на газ для защиты от атак типа «отказ в обслуживании», включая спорное предложение по улучшению Ethereum или EIP-1884.
# DoS от Ethereum, которого никогда не было.Более года основная сеть могла быть остановлена на несколько тысяч долларов.Поскольку мы оставили это в прошлом, пора пролить свет на те смутные времена. Https://t.co/xbPgbyWpcp
— Go Ethereum (@go_ethereum) May 18, 2021
В 2019 году исследователи безопасности Ethereum Хуберт Ритцдорф, Матиас Эгли и Даниэль Перес объединились, чтобы использовать эксплойт, включенный недавними обновлениями, при этом атака запускает случайные поисковые запросы trie, которые могут «привести к блокировкам в минутном диапазоне».В отчете, опубликованном в том же году, говорится, что задержки, вызванные атакой, будут увеличиваться по мере роста состояния Ethereum, «что позволяет проводить эффективные DoS-атаки против Ethereum».
После того, как различные предложения разработчиков были отклонены в течение 2020 года, Виталик Бутерин объединился с Мартином Свенде для создания EIP-2929 и EIP-2930 – обновлений, которые подняли цены на газ «только для вещей, к которым еще не было доступа», чтобы предотвратить атаку.EIP были введены вместе с обновлением в Берлине 15 апреля 2021 года. Таким образом, по оценке блога, обновление в Берлине снизило эффективность эксплойта в 50 раз.
Ethereum – не единственная сеть, которая обнаружила долгосрочные уязвимости после внедрения обновлений для защиты от указанных эксплойтов.
В сентябре 2020 года исследователи криптовалюты Брайдонд Фуллер и Джавед Хан опубликовали документ, в котором раскрывается «высокая» уязвимость для решений второго уровня, построенных на основе BTC, таких как Lightning Network.Несмотря на введенную уязвимость и по оценкам авторов, 50% узлов Биткоин были подвержены воздействию вектора, авторы не выявили никаких попыток использования уязвимости.