Constantinople é adiado por causa de vulnerabilidade crítica
O tão aguardado Constantinople da rede Ethereum, que estava com lançamento previsto para o dia 16 de janeiro, terá que ser adiado. A data do lançamento foi cancelada depois que uma vulnerabilidade crítica foi descoberta em uma das mudanças planejadas.
A empresa de auditoria de contratos inteligentes ChainSecurity marcou uma das EIPs (Ethereum Improvement Proposal) como apresentando riscos para os usuários. Segundo a organização, a EIP 1283, se implementada, poderia criar uma brecha no código que permitiria que atacantes roubassem fundos dos usuários da rede. Durante uma reunião, desenvolvedores do Ethereum, junto de desenvolvedores de outros projetos ligados à rede, concordaram em atrasar a hard fork.
A implementação do Constantinople ficará parada temporariamente, até que as equipes tenham corrigido o problema. Discutindo a vulnerabilidade do projeto, os desenvolvedores principais da rede concluíram que iria levar muito tempo para consertar o problema e não seria possível fazer isso antes da implementação.
Chamada de ataque de reentrada, a vulnerabilidade essencialmente permite que um atacante “reentre” a mesma função muitas vezes, sem que o usuário seja notificado. Em teoria, isso permitiria que um agente atacante fizesse saques infinitos de uma conta, conforme explicou Joanes Espanol, CTO da Amberdata, uma empresa de análise de dados da blockchain.
Curiosamente, essa vulnerabilidade é muito parecida com o infame ataque à DAO, que ocorreu em 2016 e dividiu a comunidade do Ethereum, sendo o responsável pelo nascimento do Ethereum Classic.
O post do ChainSecurity explicou que, antes do Constantinople, o preço de operações de estoque na rede custa 5,000 de combustível (ether). Esse é um valor bem mais alto do que os 2.300 de combustível usados ao chamar um contrato usando o código “transfer” ou “send”.
Porém, o Constantinople vai trocar as operações de “estoque sujo” para apenas 200 ether. Através desses valores, um atacante pode usar os 2300 de combustível para manipular as vulnerabilidades variáveis do contrato.
Por enquanto não foi informada uma nova data para a implementação da hard fork. Mas é melhor que eles demorem um pouco mais para a sua execução do que correr o risco de liberar a rede com vulnerabilidades perigosas para os usuários.
