Исправленная уязвимость могла парализовать ETH за последние 2 года: Ethereum Foundation

Ethereum Foundation опубликовал сообщение в блоге, в котором описывается потенциально катастрофическая уязвимость, которая могла привести к выходу из строя основной сети за менее чем пятизначную сумму вплоть до проведения берлинского хардфорка в прошлом месяце.

Сообщение в блоге от 18 мая описывает уязвимость как «серьезную угрозу для платформы Ethereum», пока апрельские обновления не позволили ей увернуться от пули.

В отчете говорится, что угроза была «секретом полишинеля», и отмечается, что однажды она была публично раскрыта по ошибке. После реализации берлинского хард-форка фонд оценивает угрозу как достаточно низкую, чтобы гарантировать полное раскрытие информации в настоящее время, заявляя:

«Важно, чтобы у сообщества была возможность понять причины изменений, которые негативно влияют на пользовательский опыт, таких как повышение цен на газ и ограничение возмещения».

В сообщении подробно говорится, что состояние Ethereum состоит из дерева Патрисии-Меркле, концептуально сравнивая новые учетные записи в сети Ethereum с новыми листьями, растущими на дереве. С ростом сети Ethereum с октября 2016 года были увеличены расходы на газ для защиты от атак типа «отказ в обслуживании», включая спорное предложение по улучшению Ethereum или EIP-1884.

DoS от #Ethereum, которого так и не было.

Больше года основная сеть могла быть остановлена ​​на несколько тысяч долларов. Поскольку мы оставили это в прошлом, пришло время пролить свет на те смутные времена. Https://t.co/xbPgbyWpcp

- Go Ethereum (@go_ethereum) 18 мая 2021 г.

В 2019 году исследователи безопасности Ethereum Хуберт Ритцдорф, Матиас Эгли и Даниэль Перес объединились, чтобы использовать эксплойт, включенный недавними обновлениями, при этом атака запускает случайные поисковые запросы trie, которые могут «привести к блокировкам в минутном диапазоне». В отчете, опубликованном в том году, говорится, что задержки, вызванные атакой, будут увеличиваться по мере роста состояния Ethereum, «что позволяет проводить эффективные DoS-атаки против Ethereum».

После того, как различные предложения разработчиков были отклонены в течение 2020 года, Виталик Бутерин объединился с Мартином Свенде для создания EIP-2929 и EIP-2930 - обновлений, которые подняли цены на газ «только для вещей, к которым еще не было доступа», чтобы предотвратить атаку. EIP были введены вместе с обновлением в Берлине 15 апреля 2021 года. Таким образом, по оценке блога, обновление в Берлине снизило эффективность эксплойта в 50 раз.

Ethereum - не единственная сеть, которая обнаружила долгосрочные уязвимости после внедрения обновлений для защиты от указанных эксплойтов.

В сентябре 2020 года исследователи криптовалюты Брейдонд Фуллер и Джавед Хан опубликовали документ, в котором раскрывается "высокая" уязвимость для решений второго уровня, построенных на основе BTC, таких как Lightning Network. Несмотря на введенную уязвимость и, по оценкам авторов, 50% узлов Биткойн были подвержены воздействию вектора, авторы не выявили никаких попыток использования уязвимости.