cointelegraph
cointelegraph . ۱ سال پیش

حمله به Sepolia: بلاک‌های خالی و تعویق ارتقای Pectra

حمله به Sepolia: بلاک‌های خالی و تعویق ارتقای Pectra

حمله ناشناس در ارتقای Pectra در Sepolia

یک توسعه‌دهنده اتریوم می‌گوید ارتقای اخیر Pectra در شبکه آزمایشی Sepolia با خطاهایی مواجه شد که با استفاده یک مهاجم از یک «حالت خاص» برای ایجاد بلاک‌های خالی تشدید شد.

مشکلات فنی در ارتقا

Pectra در ساعت ۷:۲۹ صبح ۵ مارس در آخرین شبکه آزمایشی خود، Sepolia، اجرا شد، اما ماریوس ون در ویدن، توسعه‌دهنده اتریوم، در پستی در ۸ مارس گفت که تیم بلافاصله شروع به مشاهده پیام‌های خطا در نود geth خود و استخراج بلاک‌های خالی کردند.

به گفته ون در ویدن، این خطا به این دلیل بود که قرارداد سپرده، رویداد اشتباهی را فعال کرده بود - یک رویداد انتقال به جای سپرده. یک اصلاحیه ارائه شد، اما ون در ویدن می‌گوید که آنها یک حالت خاص را از دست داده بودند و یک کاربر ناشناس از آن سوءاستفاده کرد و با ارسال یک انتقال ۰ توکن به آدرس سپرده، خطا را دوباره فعال کرد.

او گفت: «پس از چند دقیقه، دوباره تعداد زیادی بلاک خالی مشاهده کردیم، بنابراین دوباره به استخرهای تراکنش نگاه کردیم و یک تراکنش مشکل‌ساز دیگر پیدا کردیم که همان حالت خاص را فعال کرده بود.»

شناسایی منبع حمله

«در ابتدا فکر می‌کردیم که یکی از اعتبارسنج‌های مورد اعتماد اشتباهی مرتکب شده است، اما به سرعت متوجه شدیم که این تراکنش از یک حساب جدید که اخیراً توسط شیر آب تأمین مالی شده بود، منشأ گرفته است.»

استاندارد ERC-20 انتقال توکن صفر را ممنوع نمی‌کند؛ این به هر کسی، حتی اگر هیچ توکنی نداشته باشد، اجازه می‌دهد به آدرس دیگری انتقال انجام دهد، که کاربر ناشناس از آن آگاه بود، ون در ویدن گفت.

اقدامات اصلاحی

«تنها راه برای متوقف کردن حمله، فیلتر کردن تمام تراکنش‌هایی بود که با قرارداد سپرده تعامل داشتند. بنابراین ما اصلاحیه خصوصی زیر را انجام دادیم که آن را در چند نود DevOps مستقر کردیم.»

او افزود: «ما مشکوک بودیم که مهاجم برخی از چت‌های ما را می‌خواند، بنابراین تصمیم گرفتیم اصلاحیه را عمومی نکنیم و فقط چند نودی را که کنترل می‌کردیم به‌روزرسانی کنیم تا بلاک‌های کامل بیشتری در شبکه داشته باشیم.»

نتایج و پیامدها

تا ساعت ۲ بعدازظهر، همه نودها با اصلاحیه به‌روزرسانی شدند و تراکنش کاربر ناشناس با موفقیت استخراج شد. ون در ویدن گفت که آنها هرگز در طول این حادثه، نهایی‌سازی را از دست ندادند و این مشکل به Sepolia محدود بود زیرا آنها از یک قرارداد سپرده مبتنی بر توکن به جای قرارداد سپرده معمولی شبکه اصلی استفاده می‌کردند.

پیش‌تر، توسعه‌دهندگان ارتقای Pectra را در شبکه آزمایشی Holesky در ۲۶ فوریه آزمایش کرده بودند که با مشکلاتی مواجه شد. در نتیجه، توسعه‌دهندگان تصمیم گرفته‌اند ارتقای Pectra را به تعویق بیندازند تا آزمایش‌های بیشتری انجام شود.

ارتقاهای آینده و تغییرات رهبری

فورک Pectra پس از ارتقای Dencun شبکه انجام می‌شود که کارمزد تراکنش‌ها را برای شبکه‌های لایه ۲ کاهش داد و اقتصاد رول‌آپ‌های اتریوم را بهبود بخشید. هارد فورک Dencun در ۱۳ مارس ۲۰۲۴ اجرا شد.

بنیاد اتریوم اخیراً ساختار رهبری جدیدی را با دو مدیر مشترک، شیائو-وی وانگ و توماش استانچاک، معرفی کرده است.

نوشته شده توسط admin
320

نظرات

هنوز دیدگاهی ثبت نشده است.