5
在 Sepolia 测试网上的 Pectra 升级期间,网络遇到技术问题,一名未知攻击者促使以太坊开发人员推出“私人修复”。
在事后报告中,以太坊开发人员 Marius van der Wijden 透露,攻击者利用了一个被忽视的“边缘情况”,通过向存款合约发送零代币转账反复触发错误,进一步使本已陷入困境的部署变得更加复杂。
3 月 5 日,Pectra 升级在 Sepolia 上线,但几乎立刻,开发人员开始看到他们的 geth 节点上弹出错误消息,同时挖掘的空块数量也有所增加。
据 van der Wijden 介绍,问题源于存款合约发出了一个意外事件(转账事件而不是所需的存款事件),这导致节点拒绝交易并仅产生空块。
该漏洞与 EIP-6110 有关,该漏洞要求对存款合约的所有日志进行统一处理。
geth 团队推出了一个修复程序,可以“忽略来自存款合约的所有错误日志”,但据报道,开发人员忽略了 ERC-20 标准中的一个特定边缘情况。
“ERC20 标准并不禁止 0 代币转移,这允许任何人(即使他们不拥有任何代币)将 0 代币转移到另一个将发出事件的地址,”van der Wijden 解释说,并补充说“攻击者”利用了这一点,通过反复向存款合约发送零代币转移。
这会引发同样的错误并导致网络继续挖掘空块。
Initially, developers suspected a trusted validator had made a mistake, but upon investigation, they traced the issue to a newly funded account from a public faucet.
To stop the attack, developers needed to filter out transactions interacting with the deposit contract. However, they suspected that the attacker was monitoring their chats, which prompted them to roll out a “private fix†to select DevOps nodes controlling about 10% of the network.
修复部署后,节点恢复生成完整区块,使区块链在 UTC 时间 14:00 之前正常运行。几个区块之后,攻击者的交易被成功挖掘,确认所有节点运营商都已更新。
根据 van der Wijden 的说法,尽管出现了中断,但以太坊“从未失去最终确定性”,并且问题仅限于 Sepolia,因为其代币门控存款合约与以太坊主网存款合约不同。
尽管如此,开发人员还是决定推迟 Pectra 升级以进行进一步的测试和调试。
什么是以太坊的 Pectra 升级?
Pectra 分叉旨在增强 ETH 质押、提高第 2 层可扩展性并扩展网络容量。它引入了 11 项以太坊改进提案 (EIP),标志着自 2024 年 3 月上线的 Dencun 以来的首次重大升级。
As previously reported by crypto.news, developers planned to deploy Pectra on the mainnet by April 8, provided that both the Holesky and Sepolia testnets successfully completed their upgrades.
The upgrade was first implemented on the Holesky testnet on February 24, where it also ran into technical issues that prevented finalization.
浏览量11
浏览量11
浏览量6
浏览量14
浏览量26
