以太坊“君士坦丁堡”升级将延迟

以太坊的“君士坦丁堡”（Constantinople）升级面临延迟，因在其中一项变更中发现了一个严重的漏洞。

智能合约审计公司ChainSecurity周二表示，如果实施以太坊改进提案（EIP）1283，可能会为攻击者提供窃取用户资金的代码漏洞。在电话会议上，以太坊开发商以及客户开发商，和其他运营网络项目的开发商同意在评估问题时暂时推迟硬分叉。

参与者包括以太坊创造者Vitalik Buterin，开发人员Hudson Jameson，Nick Johnson和Evan Van Ness，以及Parity发布经理Afri Schoedon等。周五，将在以太坊电话会议期间将决定新的分叉日期。

在讨论漏洞的问题时，项目的核心开发人员得出的结论是，在硬分叉之前修复漏洞需要很长时间，预计将在1月17日04:00左右执行。

这个漏洞被称为可重入攻击，实质上可以允许攻击者多次“重新进入”同一个函数，而无需更新用户的事务状态。在这种情况下，攻击者基本上可以“永远撤回资金”，区块链分析公司Amberdata的首席技术官Joanes Espanol在之前的CoinDesk采访中表示。

他解释说：

    “想象一下，合约中有一个函数可以调用另一个合同......如果我是一个黑客，我能够在前一个功能仍在执行的情况下触发功能，提取资金。”

这就类似于臭名昭著的2016年DAO攻击中发现的漏洞之一。

ChainSecurity的帖子解释说，在Constantinople之前，网络上的存储操作将耗费5,000 gas，超过通常的“转移”或“发送”功能调用合同时发送的2,300 gas。

但是，如果实施升级，“不干净的”存储操作将耗费200 gas。“攻击合同可以使用2300 gas津贴成功操纵弱势合约的变量。”

之前预计Constantinople将在2018年启动，但在Ropsten测试网上启动升级后发现问题后推迟。 


原文：https://www.coindesk.com/ethereums-constantinople-upgrade-faces-delay-due-to-security-vulnerability
来源：coindesk
作者：Christine Kim , Nikhilesh De
编译：Miranda