昨日,Netta实验室发推特称,和清华大学软件学院动态分析小组合作发现,以太坊智能合约虚拟机(EVM)重大漏洞,目前该漏洞已被国际安全组织CVE认证。
以太坊近日烦事缠身。
昨日,Netta实验室发推特称,和清华大学软件学院动态分析小组合作发现,以太坊智能合约虚拟机(EVM)重大漏洞,目前该漏洞已被国际安全组织CVE认证。
Netta研究院院长、IEEE国际软件测试验证大会会议主席杨子江认为,此次漏洞级别堪称严重,如被利用,或将严重影响整个以太坊经济模型,对全球运行多数公链造成冲击。
不输于The DAO的漏洞?
据Netta实验室称,此次漏洞如果被黑客利用,影响力或不输The DAO。
众所周知,在去年6月发生的著名的The DAO事件中,有超过6000万美元的以太币被盗,从而导致了以太坊硬分叉为两派,一派是以V神(Vitalik Buterin)为代表的以太坊,另一派则还是现在的以太经典。
所以,Netta实验室的消息甫一传出,就引起了众多关注。昨晚21点48分左右,著名论坛reddit就有网友发出提问,V神于23点47分上线回复称,已与Netta实验室的相关人员有过联系,认为这仅与py-evm相关。
鉴于py-evm并非应用在主流客户端,用户数无法与以太坊其它两大客户端 geth / parity 相比,所以即便漏洞确认,对以太坊生态影响也是极其有限的。
V神的及时回复,告诉大家该漏洞确实存在,但是其影响力却没有那么可怕。事实上,从消息的出现到被回复,中间间隔不超过3个小时,加密货币市场上也没有出现过多反应。
但是,记者发现,自从步入11月份以来,此前已经发生过多起以太坊的漏洞事件。
11月3日,据cryptoglobe报道,美国马里兰大学和东北大学的研究人员分析了基于以太坊的智能合约发现,来自字节码的数据显示“在以太坊上有极高的代码重用和代码相似性。”虽然重用代码是一种非常常见的做法,因为有常规程序的模板,“高级代码重用”表明某些合同中发现潜在错误,安全漏洞也可能影响成千上万的类似合同重用了他们的代码。
11月5日,据降维安全实验室(johnwick.io)监测,以太坊上长期存在着一种针对用户钱包的“狩零人”攻击。平时黑客会对存在漏洞的钱包地址进行监控,一旦有数字货币进账后会立即转出用户的数字货币。
可怕的是,目前已经观测到部分用户被成功攻击,其中某用户已经确认遭受数十万RMB的损失。同时降维安全实验室发现此案例并非个例,该攻击在区块链可能已经长期存在。由于该漏洞的特性,降维安全实验室将其命名为“狩零人攻击”。目前团队已经通过白细胞平台对钱包提供商进行预警,详细细节将在随后公布。
11月6日,一位Reddit用户抱怨说,一个几乎不为人知的代币消耗了大量以太坊的Gas,比例超过10%。
虽然对于此前降维安全实验室的发现的“狩零人”攻击,在昨日,以太坊钱包metaMask推出新版本,新增隐私功能,但对于此功能能否有效防御“狩零人”还是未知。而对于其它漏洞,目前以太坊还未作出回应。
君士坦丁堡的新消息
虽然已经被漏洞缠身,但是很明显,以太坊的注意力大多集中在了开发君士坦丁堡上。
众所周知,以太坊现如今面临的最大问题就是其自身的延展性问题,尤其是在博彩类游戏开始盛行之后,以太坊的拥堵状况已经很长时间难以得到缓解。
此前,在9月15日,以太坊就传出将要在10月份启动以太坊君士坦丁堡硬分叉的消息,但是,由于测试版接连出现意料之外的问题,以太坊表示君士坦丁堡升级计划需要更长的开发周期。
对此,有不少人都表示失望透顶,EOS联合创始人Dan Larimer(BM)也在Telegram中说:“以太坊的下一个硬分叉就像‘像素大师(EOS涂鸦游戏)’中的奖池……它将永远延期。”
不过,就在今日,又传出了以太坊君士坦丁堡的最新消息。
昨日,V神表示,Zcash的zk-SNARKS技术可以集成到以太坊的代码库中,并且它将允许以太坊加密网络每秒处理500个任务(TPS),目前以太坊区块链每秒只能处理15个任务(TPS)。
今日,在以太坊开发人员的电话会议中,暂定明年1月16日对网络进行硬分叉升级,即君士坦丁堡。不过,此次是通过非约束性的口头协议达成的,并不是明确的最终决定。
该工作人员表示,君士坦丁堡升级计划只是被口头宣告会在1月16日发布,所以这个日期不受法律约束,而且也不是最终确定的日期。事实上,相关开发人员在周五的电话会议上表示,如果君士坦丁堡代码出现更多问题,就可能被进一步推迟发布。
君士坦丁堡的核心开发人员Péter Szilágyi 评论道:“我们只能对外说君士坦丁堡升级计划将在1月中旬发布,我们就算决定了一个发布日期也没有什么意义,因为我们随时可能会推迟这个升级计划的发布日期。”
同时,开发团队成员Lane Rettig在电话会议中也分享了关于以太坊“难度炸弹”的研究成果。难度炸弹是一种嵌入到以太坊代码中的算法,这种算法会稳步增加区块的挖掘难度,并被用来鼓励各方去定期升级以太坊网络。
据Lane Rettig透露,以太坊将从明年1月开始放出难度炸弹,这些难度炸弹会导致明年4月或5月的区块挖掘时间变成30秒。
Lane Rettig在会议中说道:“我们的时间还是足够的,所以没有需要担忧和着急的事。”
君士坦丁堡升级计划将难度炸弹的投放日期又推迟了18个月,同时也导致以太坊的挖矿奖励从3个以太币降到了2个以太币。此外,君士坦丁堡升级计划还会对以太坊底层代码进行各种优化。
仍然看好
虽然以太坊正处于发展低谷,无论是自身的硬分叉扩容,还是ETH的市场行情,都不容乐观,但是仍有不少人看好以太坊。
昨日,前谷歌首席执行官兼主席Eric Schmidt表示支持V神,其称以太坊是一个具有开发潜力的“强大平台”。
Eric Schmidt称,以太坊是一个刚刚起步的比特币和区块链的狂热爱好者,他表示以太坊或是一个“强大的平台”,其尚未开发的潜力难以估量。
今日,ShapeShift首席执行官Eric Vorhees在接受媒体采访时表示,以太坊可以成为“主链”,以太坊拥有最多开发人员这一事实可能是使以太坊成为未来dApp创建时使用率最高的区块链网络的主要原因。他还表示,V神的存在使得以太坊更加有好、更有价值。如果没有V神,以太坊的价格至少会缩水一半。
而据调研链Insight Chain(INB)发布以太坊行情调研结果来看,在782份有效问卷内,68.6%的投资者认为目前以太坊价格已经位于底部区域,31.4%的投资者认为仍未触底。
而此前在11月份的以太坊年度开发大会上,V神表示,Casper的改变一直备受期待,由于Casper与即将推出的缩放方法,分片的融合,该项目被昵称为“Shasper”,有时也更普遍地称为“以太坊2.0”。而V神告诉人们他正在恢复一个较旧的名称,用于证明赌注转换:“Serenity”
V神表示,Serenity将分四个阶段推出,“发布是我们一直在等待的里程碑,为了这个里程碑,在过去四五年里我们一直努力,它实际上并不是那么遥远。”
特别申明:区块链行业ICO项目鱼龙混杂,投资风险极高;各种数字货币真假难辨,需用户谨慎投资。本平台只负责分享信息,不构成特别任何投资建议,用户一切投资行为与本平台无关。(本文来源网络,如有侵权联系删除)
