Thomas Daniels
Kvůli zneužití zranitelnosti sítě neidentifikovaným uživatelem došlo v nejnovější aktualizaci Pectra pro Ethereum na testovací síti Sepolia k neočekávaným výpadkům. Problém vznikl v důsledku těžby prázdných bloků způsobené událostí neúspěšného vkladu.
Hlavní inženýr Marius van der Wijden 8. března poznamenal, že aktualizace, která byla provedena 5. března v 7:29, narazila na okamžité problémy na uzlu geth sítě Ethereum. Hlavní příčinou byla vkladová smlouva, která neúmyslně vygenerovala událost převodu namísto události vkladu.
Přestože tým zavedl nápravu, nezohlednil hraniční situaci, která umožnila anonymnímu uživateli provádět převody s nulovými tokeny na depozitní adresu. Tato aktivita chybu znovu rozdmýchala, což vedlo k další těžbě prázdných bloků.
Van van Wijden si nejprve myslel, že transakce byly výsledkem neúmyslné chyby validátoru, ale později zjistil, že pocházejí z čerstvě nabitého účtu, ke kterému se přistupovalo přes faucet. Standard tokenů ERC-20 má chybu, která umožňuje převody s nulovou hodnotou, čehož útočník zneužil.
Vývojáři se domnívali, že útočník sleduje interní konverzace, a proto tajně nainstalovali speciální záplatu na několik DevOps uzlů, aby se vyhnuli narušení. Všechny uzly byly aktualizovány do 2:00, kdy se síť vrátila k běžnému provozu.
Finalizace nebyla incidentem ovlivněna a problém se omezil na Sepolia, kde se vývojáři rozhodli pro kontrakt na vklad s tokeny namísto konvenční smlouvy s mainnet.
Po předchozím problému na testovací síti Holesky z 26. února se jedná o druhý významný problém s upgradem Pectry. Vývojáři Etherea se proto rozhodli odložit kompletní spuštění Pectry až do dalšího testování.
Aktualizace přichází po hard forku Dencun společnosti Ethereum, který 13. března 2024 zavedl lepší efektivitu rollupu a nižší transakční náklady na 2. vrstvě. Mezitím Hsiao-Wei Wang a Tomasz Stańczak převzali vedení nadace Ethereum Foundation, která zavedla novou strukturu vedení.
