Das sehnlichst erwartete Ethereum Upgrade Constantinople musste aufgrund einer schweren Sicherheitslücke verschoben werden. Es wurde eine entscheidende Schwachstelle im Code gefunden. Wie der Ethereum Blog berichtet wurde die Sicherheitslücke von der Security Audit Firma ChainSecurity erkannt.
Wenn das Ethereum Improvement Proposal (EIP) 1283 ausgeführt worden wäre, würde es Angreifern eine Möglichkeit bieten, die Assets der Benutzer zu stehlen. Deshalb haben die Ethereum Entwickler der Verschiebung des Hard Forks vorläufig zugestimmt.
Ethereum Constantinople
Wie bereits berichtet, wird mit dem Constantinople Hard Fork die Mining Belohnung von Ethereum von 3 ETH/Block auf 2 ETH/Block verringert. Das entspricht einer Reduktion um 33%. Geplant war, dass der Hard Fork bei Block 7.080.000 durchgeführt wird.
Constantinople ist der Name des nächsten Ethereum System Upgrade, das in Form eines Hard Forks durchgeführt wird. Es ist Bestandteil der mehrstufigen Entwicklung Richtung Serenity. Das Serenity Upgrade wird noch einige weitere fortgeschrittene Regeln einführen, wobei die wichtigste Änderung der Umstieg auf Proof of Stake darstellt. Am 6. Dezember 2018 beschlossen die Ethereum Coreentwickler, mit Constantinople weiterzumachen, das bei Block 7.080.000 realisiert werden soll. Die aktuelle Blockzeit liegt bei etwa 14,5 Sekunden.
Was ist das für eine Sicherheitslücke?
Die Security Audit Firma ChainSecurity stellte fest, dass das erwartete Constantinople Upgrade für das Ethereum-Netzwerk geringere Gaskosten für einige SSTORE Aktionen beinhaltet. Als unerwünschter Nebeneffekt ermöglicht das Wiederholungsangriffe bei der Verwendung von address.transfer(….) oder address.send(….) in Solidity Smart Contracts, das bedeutet, ein Smart Contract wird mehrfach verwendet. Früher wurden diese Funktionen als sicher angesehen, was sie jetzt nicht mehr sind.
Der Code bildet eine sicheren Unterstützung bei der Verteilung von Repositories ab. Zwei Unternehmen können gleichzeitig die Mittel abrufen. Sie sind in der Lage, sie zu teilen und eine Auszahlung zu erhalten, wenn ihre Angaben übereinstimmen. Ein Angreifer wird ein solches Paar bilden, bei dem die primäre Adresse der Contract des Angreifers und die nächste Adresse das Konto des Angreifers ist. Dafür zahlt der Angreifer etwas Geld in den Vertrag ein.
Mit anderen Worten, der Angreifer kann aus dem
PaymentSharer Contract Ether anderer Leute stehlen. Der offizielle Blog von ChainSecurity berichtet:
Zwei Parteien können gemeinsam Mittel erhalten und dann entscheiden, wie sie aufgeteilt werden sollen. Wenn beide Parteien sich einig sind können sie sich die Mittel auszahlen lassen.
Ein Angreifer wird ein solches Paar bilden, bei dem die primäre Adresse der Contract des Angreifers und die nächste Adresse das Konto des Angreifers ist. Dafür zahlt der Angreifer etwas Geld in den Vertrag ein.
Was sind “Reentrancy” Angriffe
Eine der größten Bedrohungen beim Aufruf externer Verträge ist, dass die Ersteller die Kontrolle über den Contract haben können und Änderungen an den Daten vornehmen können, die die aufrufende Funktion eigentlich nicht verlangt hat. Dieser Bug kann dabei zahlreiche verschiedene Ausprägungen annehmen. Mit anderen Worten, der “reentrancy” (Wiedereinstieg) Status ist der Zeitpunkt, an dem ein Angreifer die Funktion eines beliebigen Vertrags aufrufen und möglicherweise wieder in den Vertrag eintreten kann, bevor der Anruf ein- oder mehrmals ausgeführt wird. Das wäre speziell bei einer bezahlten Funktionalität besonders schädlich.
Ein neuer Termin für den Hard Fork wird beim nächsten Ethereum Developer Treffen am Freitag (18.01.2019) festgelegt. Unter den Mitgliedern die die Entscheidung getroffen haben, den Form zu verschieben, waren Ethereum-Mitbegründer Vitalik Buterin, die Entwickler Hudson Jameson, Nick Johnson und Evan Van Ness sowie der Parity Release Manager Afri Schoedon.
Das ist nicht das erste Mal, dass das Upgrade verschoben wird. Ursprünglich war es für November 2018 geplant war, aber die Umsetzung wurde durch Netzwerkfehler behindert. Ethereums Constantinople Upgrade ist Bestandteil des Prozesses hin zu einem Proof-of-Stake-Konsens-Algorithmus im Laufe des Jahres 2019. Das Upgrade wird die Verarbeitungsraten erhöhen, das Design des Netzwerks verbessern, wie das Data Warehouse monetarisiert wird, und die Mining-Preise von $3/Block auf $2/Block senken.
Die Sicherheitsfirma führte weiter aus, dass ein Scan der Ethereum Blockchain unter Verwendung der über eveem.org zugänglichen Daten keine angegriffenen Smart Contracts entdeckte. Das Unternehmen arbeitet mit Mitgliedern der ethsecurity.org zusammen, um diesen Scan der noch nicht dekompilierten Smart Contracts zu entwickeln.
Der Beitrag von ChainSecurity enthüllte auch, dass aktuell, vor Constantinople, die Kosten für Speicherdienstleistungen bei ca. 5000 Gas liegen. Das liegt deutlich über den Kosten von 2300 Gas, die normalerweise bei der Ausführung der Transfer oder Send Funktion eines Smart Contracts aufgerufen werden. Nach der Durchführung des Upgrades kostet die Ausführung einer Transaktion nur noch 200 Gas. Ein Angreifer kann dann allerdings für 2300 Gas die Steuerung der Variablen des Smart Contracts übernehmen.
Kryptowährungen kannst du auf Binance*, Coinbase* oder eToro* kaufen. Hier geht es zu unserem ->Starterkit.
Folge uns auf Twitter, Instagram, Facebook, Steemit und tritt unserem Telegram News Kanal oder Newsletter bei.
Du würdest diesen Artikel gerne kommentieren? Dann tritt einfach unserer Telegram Diskussions-Gruppe bei.
*Die mit Sternchen (*) gekennzeichneten Links sind sogenannte Affiliate-Links. Wenn du über diesen Link etwas kaufst, bekommen wir eine Provision vom Händler. Der Preis verändert sich dabei für dich nicht.
