在11月11日的“意外硬叉”事件之后,以太坊开发人员正在考虑对公开披露关键错误的更改;
根据GETH(GO)发布的一篇技术文章——最大的EnthUM客户端用GO语言编写,拒绝服务(DoS)攻击向量是由下游用户故意触发的,测试结果是30块侧链。
Geth在10月初的时候就已经修复了这个bug,但是它仍然存在于之前的Geth版本中。这个错误会暂时导致没有更新到正确版本的Geth的节点与其他客户机的路径不同。
现在,在一些开发人员称之为自2016年攻击DAO以来以太坊面临的最大威胁之后,开发商正在重新安排安全漏洞的披露流程;
阅读更多:“未经宣布的硬叉”试图阻止它造成的破坏
这个问题是有包袱的。Summa创始人James Prestwich在一条消息中告诉CoinDesk,在以太坊这样的开源软件(OSS)中,一个常见的风气是,供应商的任务是“及时通知受漏洞影响的人”。他说,有可能给用户带来麻烦。
然而,区块链的核心是金融结算机制。在OSS中揭露漏洞的传统方法可能会给其他有钱的玩家带来不好的结果。
在周五的全核心开发者电话会议上,以太坊开发者micahzoltu和Geth团队负责人peterszilágyi都不同意发布关键漏洞通知列表。佐尔图称,这样的名单将为项目创造一个不平衡的竞争环境,而Szilágyi则表示,每一次漏洞披露都会在以太坊的基础设施中造成弱点;
例如,提前向服务提供商Infura披露缺陷,这将是相对于竞争对手的不公平优势。Infura是大多数去中心化金融(DeFi)用来连接以太坊区块链的。此外,如果名单上的特权信息泄露给敌对方,对更大生态系统的后果可能是严重的。
再次考虑到这个选择,Szilágyi说他将以同样的方式进行最近的披露,也就是说,要对一致性错误保密(尽管他在通话中曾说,他们应该让用户知道Geth的一个旧版本存在漏洞)。他说,Geth已经针对其他共识的漏洞这么做了。
“信息披露是一个复杂的话题,用户安全至关重要,”普雷斯特维奇总结道。
更新(11月13日21:00 UTC):这篇文章的前一个版本错误地指出80%的网络进入了错误的链。只有未更新到正确的Geth版本的节点才加入侧链。
微信扫一扫 
