Ethereum-upgrade uitgesteld door serieus beveilingslek

Een belangrijke update van de Ethereum-blockchain werd noodgedwongen uitgesteld na de ontdekking van een grote kwetsbaarheid. Die had kunnen worden misbruikt door aanvallers om geld van gebruikers te stelen.

De netwerkupdate, bekend als de Constantinople Upgrade, stond normaal gepland voor vandaag, maar wordt door de ontdekking uitgesteld naar een later te bepalen datum. Het lek in kwestie werd gevonden door ChainSecurity en is een zogenaamde ‘reentrancy attack’.

Volgens de onderzoekers van ChainSecurity zou het lek kunnen worden misbruikt om geld te stelen van gebruikers waarmee de aanvaller een smart contract had afgesloten. De manier waarop de Constantinople Upgrade smart contracts verwerkt, laat een aanvaller toe om het geld van zijn slachtoffer uit het smart contract te halen, zonder dat hij aan zijn voorwaarden van het contract moet voldoen, of zonder goedkeuring of kennis van het slachtoffer.

Momenteel zijn smart contracts immuun voor dit soort aanval, maar als de Constantinople Upgrade in zijn huidige vorm werd uitgerold, zou dat niet langer het geval zijn. ChainSecurity deed een, weliswaar onvolledige, scan van de huidige versie van het Ethereum-platform en kon geen smart contracts vinden die kwetsbaar zijn.

Het ontwikkelteam van Ethereum werkt aan een patch en gaat op zoek naar eventuele gelijkaardige kwetsbaarheden, voordat de Constantinople Upgrade officieel wordt uitgerold.

Gerelateerd: Hackers scannen massaal op Ethereum-wallets en mining-apparatuur