Aufgedeckt: Ethereum "lebte" 18 Monate lang mit einer großen Bedrohung

Was wir wussten: Ethereum (ETH) führte die Berlin Hardfork letzten Monat aus. Was wir nicht wussten: dies kam mit einer Lösung, die das Risiko eines großen DoS-Angriffs senken sollte, der das Netzwerk für mehr als eineinhalb Jahre bedrohte.

Source: iStock/PashaIgnatov

Laut Laut dem Post vom 18. Mai, der von Ethereum-Entwickler Péter Szilágyi und dem Security Lead der Ethereum Foundation Martin Holst Swende geschrieben wurde, hat die Foundation "offiziell eine ernsthafte Bedrohung für die Ethereum-Plattform offengelegt, die bis zur Berliner Hardfork eine klare und gegenwärtige Gefahr war."

Diese Schwachstelle sei seit langem ein "offenes Geheimnis" gewesen, hieß es, und mindestens einmal aus Versehen öffentlich gemacht worden. Da das Berlin-Upgrade abgeschlossen ist und die Geth-Knoten standardmäßig Snapshots verwenden, "schätzen wir, dass die Bedrohung gering genug ist, dass Transparenz Trumpf ist und es an der Zeit ist, die Arbeiten hinter den Kulissen vollständig offenzulegen", heißt es in dem Bericht.

Sie fügten hinzu, dass es "wichtig ist, dass die Community eine Chance bekommt, die Gründe für Änderungen zu verstehen, die sich negativ auf die Benutzererfahrung auswirken, wie z. B. die Erhöhung der Gaskosten und die Begrenzung der Rückerstattung."

Der Bericht ging kurz in die technischen Details und erklärte, dass der Ethereum-Zustand aus einem Patricia-Merkel-Trie besteht, und wenn neue Konten zum Netzwerk hinzugefügt werden, bilden sich sozusagen neue "Blätter", wobei der Trie dichter wird.

Außerdem wurden mit dem Wachstum des Netzwerks neue Ethereum Improvement Proposals (EIPs) eingeführt, um die Gaspreise für Operationen, die auf den Trie zugreifen, zu erhöhen und um sich vor DoS-Angriffen zu schützen. Einer davon war EIP-1884, der im Dezember 2019, während des Istanbul-Upgrades, aktiviert wurde.

Aber im Oktober 2019 wurde ein Exploit von den Ethereum-Sicherheitsforschern Hubert Ritzdorf, Matthias Egli und Daniel Perez "bewaffnet" und beim Ethereum-Bug-Bounty-Programm eingereicht. Es wurde dann entdeckt, dass "die Änderungen in EIP-1884 definitiv einen Einfluss auf die Reduzierung der Auswirkungen des Angriffs hatten, aber es war bei weitem nicht ausreichend."

Entwickler von Geth, Parity und Aleth wurden noch am selben Tag auf einem Kanal, der sich mit klientenübergreifender Sicherheit befasst, über die Meldung informiert, so der Bericht, und fügte hinzu, dass auch die Entwickler von Ethereum Classic (ETC) die Meldung erhielten. Aber Parity Ethereum bald verlassen, und ein neuer Client-Koordinierung Kanal wurde mit Geth erstellt, Nethermind, OpenEthereum und Besu.

"Als sich das Jahr 2019 dem Ende zuneigte, wussten wir, dass wir größere Probleme haben, als wir zuvor angenommen hatten, wo bösartige Transaktionen zu Blockzeiten im Minutenbereich führen konnten."

Außerdem waren die Entwickler bereits unglücklich über EIP-1884, das bestimmte Vertragsabläufe zum Erliegen gebracht hatte, und "sowohl die Nutzer als auch die Miner juckte es in den Fingern, die Blockzeitgrenzen zu erhöhen."

Für eine Lösung gab es zwei Ansätze:

  • den Versuch, das Problem auf der Protokollebene zu lösen, möglichst ohne Verträge zu brechen und ohne "gutes" Verhalten zu bestrafen, aber mit dem Ziel, Angriffe zu verhindern;
  • die Lösung durch Software-Engineering, indem man die Datenmodelle und Strukturen innerhalb der Clients verändert.

Am 15. April dieses Jahres, nach mehreren abgelehnten Vorschlägen, gingen EIP-2929 und sein Begleiter EIP-2930 mit dem Berliner Upgrade in Betrieb - die keine Vertragsströme brechen und die Gaspreise "nur für Dinge, auf die noch nicht zugegriffen wurde" erhöhen, um den Angriff zu verhindern.

Es ist wichtig zu erwähnen, dass dies nicht das erste Mal ist, dass eine Bedrohung ein paar Jahre nach ihrer Entdeckung offengelegt wird, und die Entwickler argumentieren, dass dies aus einem sehr guten Grund geschieht.

Wie berichtet enthüllte im September 2020 ein Forschungspapier, dass Bitcoin (BTC) eine schwere Denial-of-Service-Schwachstelle beherbergt - die entdeckt wurde und zurück Am 15. April dieses Jahres, nach mehreren abgelehnten Vorschlägen, gingen EIP-2929 und sein Begleiter EIP-2930 mit dem Berliner Upgrade in Betrieb - die keine Vertragsströme brechen und die Gaspreise "nur für Dinge, auf die noch nicht zugegriffen wurde" erhöhen, um den Angriff zu verhindern.

Es ist wichtig zu erwähnen, dass dies nicht das erste Mal ist, dass eine Bedrohung ein paar Jahre nach ihrer Entdeckung offengelegt wird, und die Entwickler argumentieren, dass dies aus einem sehr guten Grund geschieht.

Wie berichtet enthüllte im September 2020 ein Forschungspapier, dass Bitcoin (BTC) hatte eine schwere Denial-of-Service-Schwachstelle beherbergt - die entdeckt wurde und auf Juni 2018 zuückgestellt wurde, ohne dass es die Öffentlichkeit zwei Jahre erfahren hatte. 

Laut den Entwicklern, die zu dieser Zeit mit Cryptonews.com sprachen, war es im besten Interesse des Netzwerks und seiner Nutzer, Softwarefehler streng geheim zu halten und nur einige wenige wichtige Entwickler/Codebesitzer oder Betreuer über verschlüsselte Nachrichten zu informieren, zumindest bis ein Fix ausgerollt wird.
____
Weitere interessante News: 
- Ethereum "Casino" Wale tauchen in DeFi - Analyst
- Ethereum wird sich nicht vor Quantencomputern hinter PoS-Schild verstecken