鑒于社區(qū)發(fā)現(xiàn)君士坦丁堡硬分叉升級(jí)存在潛在安全漏洞，以太坊社區(qū)的主要利益相關(guān)者決定推遲這次硬分叉。以太坊官方博客今日早間發(fā)布公告，鑒

鑒于社區(qū)發(fā)現(xiàn)君士坦丁堡硬分叉升級(jí)存在潛在安全漏洞，以太坊社區(qū)的主要利益相關(guān)者決定推遲這次硬分叉。

以太坊官方博客今日早間發(fā)布公告，鑒于社區(qū)發(fā)現(xiàn)君士坦丁堡硬分叉升級(jí)存在潛在安全漏洞，以太坊社區(qū)的主要利益相關(guān)者決定推遲這次硬分叉。以太坊主要客戶端Parity和Geth均發(fā)布新的版本。下文是以太坊官方博客的譯文，介紹了有關(guān)這次推遲的具體信息以及各方利益相關(guān)者需要采取的措施。

譯文如下：

(圖片來源：unsplash)

以太坊核心開發(fā)者和以太坊安全社區(qū)注意到了由ChainSecurity于2019年1月15日發(fā)現(xiàn)的與君士坦丁堡硬分叉升級(jí)相關(guān)的潛在安全問題。我們正在調(diào)查所有潛在的漏洞，并將在這篇博客文章和各媒體渠道進(jìn)行更新。

出于極大的謹(jǐn)慎立場(chǎng)，以太坊社區(qū)的主要利益相關(guān)者決定，最好的做法是推遲原定于在區(qū)塊高度7080，000(大約2019年1月16日)實(shí)施的君士坦丁堡硬分叉升級(jí)。

這將要求所有運(yùn)行節(jié)點(diǎn)的人(節(jié)點(diǎn)運(yùn)營(yíng)商、交易所、礦工、錢包服務(wù)等等)在區(qū)塊高度7080，000之前更新到Geth或Parity客戶端的新版本。區(qū)塊高度7080，000將在本文發(fā)布后的大約32小時(shí)內(nèi)達(dá)到，也就是大約美國(guó)太平洋(2.790,-0.03,-1.06%)時(shí)間1月16日晚上8點(diǎn)，或美國(guó)東部時(shí)間1月16日11點(diǎn)，或格林尼治時(shí)間1月17日凌晨4點(diǎn)。

你需要做什么

如果您只是與以太坊交互(不運(yùn)行節(jié)點(diǎn))，你無需做任何事。

礦工、交易所和節(jié)點(diǎn)運(yùn)營(yíng)商：

當(dāng)Geth和/或Parity客戶端發(fā)布新版本之后(現(xiàn)已發(fā)布)，進(jìn)行更新。

Geth客戶端：

更新到版本1.8.21或

降級(jí)到版本1.8.19或

仍舊使用版本1.8.20，但使用‘–override.constantinople=9999999’開關(guān)推遲君士坦丁堡分叉。

Parity客戶端：

升級(jí)到2.2.7穩(wěn)定版(推薦)

升級(jí)到2.3.0測(cè)試版

降級(jí)到2.2.4測(cè)試版(不推薦)

其他人

Ledger， Trezor， Safe-T， Parity Signer， WallEth， Paper Wallets， MyCrypto， MyEtherWallet 等錢包用戶，以及其他沒有通過同步和運(yùn)行節(jié)點(diǎn)參與網(wǎng)絡(luò)的用戶或代幣持有者：

無需做任何事

以太坊合約所有者：

無需做任何事

您可以選擇檢查潛在漏洞的分析并檢查您的合約。

但是，您不需要做任何事情，因?yàn)橐氪藵撛诼┒吹母膶⒉粫?huì)被啟用。

事件背景

這次漏洞的發(fā)現(xiàn)者ChainSecurity發(fā)布的文章中深入挖掘潛在的漏洞，以及如何檢查智能合約的漏洞。簡(jiǎn)單地說：

“EIP-1283為SSTORE操作引入了更便宜的gas成本。一些智能合約(已經(jīng)在鏈上了)可能會(huì)利用這種代碼模式，這會(huì)使它們?cè)诰刻苟”ど?jí)之后容易遭受一種重入攻擊。

只要不進(jìn)行君士坦丁堡升級(jí)，這些智能合約就不會(huì)不堪一擊。”

在狀態(tài)更改操作之后使用transfer()或send()函數(shù)的合約增加了它們易受攻擊的可能性，例如，在一種合約中，當(dāng)交易雙方共同接收資金，決定如何分割這些資金，并開始支付這些資金時(shí)，就容易遭受攻擊。

推遲君士坦丁堡分叉的決定是如何做出的

安全研究人員，像ChainSecurity和TrailOfBits，對(duì)整個(gè)區(qū)塊鏈進(jìn)行(目前仍在進(jìn)行)分析。雖然他們?cè)谧匀画h(huán)境下沒有發(fā)現(xiàn)任何這種漏洞的情況。然而，仍存在一些合約可能受到影響的非零風(fēng)險(xiǎn)。

由于風(fēng)險(xiǎn)是非零的，而且確定風(fēng)險(xiǎn)所需的時(shí)間比計(jì)劃中的君士坦丁堡升級(jí)之前的可用時(shí)間要長(zhǎng)，因此出于極大的謹(jǐn)慎，決定推遲這次分叉。

參與討論的各方包括但不限于：

安全研究人員

以太坊利益相關(guān)者

以太坊客戶端開發(fā)者

智能合約所有者/ 開發(fā)者

錢包提供商

節(jié)點(diǎn)運(yùn)營(yíng)商

dapp開發(fā)者

媒體

關(guān)鍵詞： 君士坦丁堡 硬分叉 安全漏洞