में एक हमला पाया गया और उसका शोषण किया गया डीएओ, और हमलावर वर्तमान में DAO में निहित ईथर को एक चाइल्ड DAO में निकालने की प्रक्रिया में है। हमला ए है पुनरावर्ती कॉलिंग भेद्यता, जहां एक हमलावर “स्प्लिट” फ़ंक्शन को कॉल करता है, और फिर स्प्लिट फ़ंक्शन को स्प्लिट के अंदर पुनरावर्ती रूप से कॉल करता है, जिससे एक लेनदेन में कई बार ईथर एकत्र होता है।
लीक ईथर चाइल्ड डीएओ में है https://etherchain.org/account/0x304a554a310c7e546dfe434669c62820b7d83490; यहां तक कि अगर कोई कार्रवाई नहीं की जाती है, तो हमलावर कम से कम ~ 27 दिनों के लिए किसी भी ईथर को वापस लेने में सक्षम नहीं होगा (चाइल्ड डीएओ के लिए निर्माण विंडो). यह एक ऐसा मुद्दा है जो विशेष रूप से डीएओ को प्रभावित करता है; एथेरियम अपने आप में पूरी तरह से सुरक्षित है.
एक सॉफ्टवेयर कांटा प्रस्तावित किया गया है, (कोई रोलबैक नहीं; कोई लेन-देन या ब्लॉक “रिवर्स” नहीं किया जाएगा) जो कोई भी लेनदेन करेगा जो किसी भी कॉल/कॉलकोड/प्रतिनिधि कॉल करता है जो कोड हैश के साथ खाते की शेष राशि को कम करता है 0x7278d050619a624f84f51987149ddb439cdaadfba5966f7cfaea7ad44340a4ba (यानी डीएओ और बच्चे) लेन-देन की ओर ले जाते हैं (सिर्फ कॉल नहीं, लेन-देन) अमान्य होने के कारण, ब्लॉक 1760000 से शुरू होता है (सटीक ब्लॉक संख्या कोड जारी होने तक बदलने के अधीन है), हमलावर द्वारा 27-दिन की अवधि के बाद ईथर को वापस लेने से रोकना.यह टोकन धारकों को अपने ईथर को पुनर्प्राप्त करने की क्षमता सहित संभावित आगे के कदमों की चर्चा के लिए बहुत समय प्रदान करेगा।
खनिकों और खनन पूलों को लेन-देन को सामान्य रूप से अनुमति देना फिर से शुरू करना चाहिए, सॉफ्ट फोर्क कोड की प्रतीक्षा करें और इसे डाउनलोड करने और चलाने के लिए तैयार रहें यदि वे एथेरियम इकोसिस्टम के लिए इस पथ से सहमत हों। डीएओ टोकन धारकों और एथेरियम उपयोगकर्ताओं को चुस्त बैठना चाहिए और शांत रहना चाहिए। ETH की ट्रेडिंग फिर से शुरू करने में एक्सचेंजों को सुरक्षित महसूस करना चाहिए।
अनुबंध लेखकों को ध्यान रखना चाहिए (1) पुनरावर्ती कॉल बग के बारे में बहुत सावधान रहें, और एथेरियम अनुबंध प्रोग्रामिंग समुदाय से सलाह सुनें जो अगले सप्ताह में इस तरह की बग को कम करने के लिए आने की संभावना है, और (2) ऐसे अनुबंध बनाने से बचें जिनमें शामिल हैं उप-टोकन अनुबंधों और अन्य प्रणालियों के अपवाद के साथ ~$10m से अधिक मूल्य का मूल्य, जिसका मूल्य खुद एथेरियम प्लेटफॉर्म के बाहर सामाजिक सहमति से परिभाषित होता है, और जिसे बग उभरने पर समुदाय की सहमति के माध्यम से आसानी से “हार्ड फोर्क्ड” किया जा सकता है। (उदाहरण के लिए एमकेआर), कम से कम जब तक कि समुदाय को बग कम करने और/या बेहतर उपकरण विकसित करने के साथ अधिक अनुभव प्राप्त न हो जाए।
डेवलपर्स, क्रिप्टोग्राफ़र और कंप्यूटर वैज्ञानिकों को ध्यान देना चाहिए कि किसी भी उच्च-स्तरीय उपकरण (आईडीई, औपचारिक सत्यापन, डिबगर्स, प्रतीकात्मक निष्पादन सहित) जो एथेरियम पर सुरक्षित स्मार्ट अनुबंध लिखना आसान बनाता है, इसके लिए प्रमुख उम्मीदवार हैं देवग्रांट्स, ब्लॉकचेन लैब्स अनुदान और स्ट्रिंग के स्वायत्त वित्त अनुदान.
यह पोस्ट अपडेट होती रहेगी।
