Пограничный случай в обновлении Pectra на тестнете Sepolia использован для атаки

Проблемы с активацией хардфорка Pectra на тестнете Sepolia 5 марта привели к действиям злоумышленника, что усугубило ситуацию. Разработчик Ethereum Мариус ван дер Вейден сообщил, что после развертывания обновления клиент Geth начал генерировать пустые блоки из-за сбоя в работе депозитного контракта, вызванного тестовой транзакцией, отправленной для проверки функции снятия средств.

Разработчики создали и развернули патч, однако вскоре сеть вновь начала производить пустые блоки. Было обнаружено, что злоумышленник использовал пограничный случай в стандарте ERC-20, который позволяет отправлять нулевые переводы на другие адреса, даже если на счете нет токенов. Атакующий использовал эту уязвимость для повторного сбоя.

Чтобы решить проблему, команда Ethereum приняла решение отфильтровать все транзакции, взаимодействующие с депозитным контрактом, и развернула частное исправление на 10% нод сети, что позволило восстановить работу тестнета.

Разработчик отметил, что проблема касалась только тестнета Sepolia, где используется депозитный контракт с токен-замком, в отличие от основной сети Ethereum. Финализация не была потеряна, и команда продолжила работать над исправлением. Печальная ситуация не повлияла на запланированную активацию Pectra в мейннете Ethereum в начале апреля.

Источник

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

Вернуться наверх