Неизвестный злоумышленник вызвал проблемы при обновлении Pectra на Sepolia

Разработчик Ethereum сообщил, что недавнее обновление Pectra тестовой сети Sepolia столкнулось с ошибками, усугубленными действием злоумышленника, который использовал "краевой случай", чтобы инициировать добычу пустых блоков.

Обновление Pectra было развернуто на тестовой сети Sepolia в 7:29 утра 5 марта, однако разработчик Ethereum Мариус ван дер Вейден заявил 8 марта в своем посте, что команда сразу стала получать сообщения об ошибках на их узле geth и наблюдать добычу пустых блоков.

По словам ван дер Вейдена, ошибка возникла из-за того, что контракт депозита вызвал неправильный тип события — транзакцию передачи вместо депозита.

Было выпущено исправление, но ван дер Вейден признался, что они упустили один краевой случай, и неизвестный пользователь воспользовался этим, отправив перевод из 0 токенов на адрес депозита, что снова активировало ошибку.

"Через несколько минут мы снова увидели большое количество пустых блоков, поэтому снова проверили пуулы транзакций и обнаружили еще одну проблемную транзакцию, которая вызвала те же краевые случаи," отметил он.

"Сначала мы думали, что кто-то из доверенных валидаторов совершил ошибку, но быстро поняли, что эта транзакция была произведена с нового аккаунта, недавно пополненного краником." 

Стандарт ERC-20 не запрещает перевод 0 токенов; это позволяет любому, даже если у него нет токенов, сделать перевод на другой адрес, о чем и догадался неизвестный пользователь, заявил ван дер Вейден.

"Единственный способ остановить атаку — это отфильтровать все транзакции, взаимодействующие с контрактом депозита. Поэтому мы сделали следующее приватное исправление, которое развернули на нескольких наших DevOps узлах."

"Мы подозревали, что злоумышленник читает некоторые из наших чатов, поэтому решили не разглашать исправление, а просто обновить несколько узлов, которые мы контролировали, чтобы получить больше полных блоков в сети," добавил он.

К 14:00 все узлы были обновлены с учетом исправления, и транзакция неизвестного пользователя была успешно обработана.

Ван дер Вейден сообщил, что окончательная доработка не была потеряна во время инцидента, и проблема была ограничена Sepolia, поскольку они использовали контракт депозита с блокировкой по токенам вместо обычного контракта основного сетевого депозита.

Ранее разработчики тестировали обновление Pectra на тестовой сети Holesky 26 февраля, где также встречались проблемы.

В результате разработчики решили отложить обновление Pectra, чтобы провести дополнительные тесты.

Связанные новости: Настроение по отношению к Ether достигло годового минимума, но это может обернуться преимуществом: Santiment

Хардфорк Pectra последовал за обновлением сети Dencun, которое снизило комиссии за транзакции для сетей второго уровня и улучшило экономику роллапов Ethereum. Обновление Dencun было развернуто 13 марта 2024 года.

Фонд Ethereum недавно изменил структуру руководства, назначив двух содиректоров фонда, Сяо-вэй Ванга и Томаша Станчака, на руководящие должности.