生態系統
未知攻擊者在Sepolia的Pectra升級中造成困擾
以太坊最近在Sepolia測試網進行的Pectra升級遇到了問題,這一問題因為一名未知用戶發送零代幣轉賬而變得更加嚴重。
以太坊開發者Marius van der Wijden表示,Pectra在3月5日早上7:29於其最後的測試網Sepolia推出,但在3月8日的帖子中,他提到團隊立即開始在其geth節點上看到錯誤信息,並且出現了空區塊的情況。
根據Van der Wijden的說法,錯誤是因為存款合約觸發了錯誤類型的事件——一個轉賬事件而不是存款事件。
雖然已經推出了修復,但Van der Wijden表示他們錯過了一個邊緣案例,而一名未知用戶利用這一點,向存款地址發送了0代幣的轉賬,這再次觸發了錯誤。
“幾分鐘後,我們又看到很多空區塊,所以我們再次查看交易池,發現另一個觸發相同邊緣案例的有問題交易,”他說。
“起初我們以為是某個受信任的驗證者犯了錯,但我們很快意識到這筆交易來自一個最近由水龍頭資助的新賬戶。”
根據Van der Wijden的說法,ERC-20標準並不禁止零代幣轉賬;這使得任何人,即使他們沒有任何代幣,也能向另一個地址進行轉賬,而這正是未知用戶所意識到的。
“阻止這次攻擊的唯一方法就是過濾掉所有與存款合約互動的交易。因此,我們進行了以下私密修復,並將其部署到幾個DevOps節點。”
“我們懷疑攻擊者在閱讀我們的一些聊天記錄,所以我們決定不公開這個修復,而只是更新我們控制的幾個節點,以便在網絡上獲得更多完整的區塊,”他補充道。
到下午2點,所有節點都已更新了修復,並且未知用戶的交易成功被挖掘。
Van der Wijden表示,在事件期間他們從未失去最終確認,問題僅限於Sepolia,因為他們使用的是一個代幣限制的存款合約,而非正常的主網存款合約。
此前,開發者在2月26日的Holesky測試網上測試了Pectra升級,當時也遇到了問題。
因此,開發者決定推遲Pectra升級,直到可以進行更多測試。
評論
這次事件突顯了區塊鏈技術在安全性和穩定性方面的脆弱性,尤其是在進行重大升級時。雖然開發者迅速反應並修復了問題,但這也反映出在開發過程中對潛在邊緣案例的忽視。隨著區塊鏈技術的普及,未來可能會有更多類似的攻擊出現,這要求開發者在設計合約時必須更加謹慎,並進行更全面的測試。
此外,這次事件也提醒我們,社群的透明度和信息共享的重要性。在面對攻擊時,開發者選擇不公開修復方案,雖然短期內有效,但長期來看可能會影響社群對項目的信任。未來,如何在安全性和透明度之間取得平衡,將是區塊鏈項目面臨的一大挑戰。
以上文章由特價GPT API KEY所翻譯及撰寫。而圖片則由FLUX根據內容自動生成。
