お知らせ |安全警告!コンスタンティノープルの延期

Ethereum コア開発者と Ethereum セキュリティ コミュニティは、2019 年 1 月 15 日にChainSecurityによって発見された Constantinople に関連する潜在的な問題を認識しています。私たちはすべての潜在的な脆弱性を調査しており、ブログ投稿やソーシャル メディアで関連情報を更新します。

十分な注意を払って、イーサリアムコミュニティの主要関係者は、当初2019年1月16日のブロック7,080,000で発生する予定だったコンスタンティノープルフォークを延期することが最善の策であると判断しました。

なぜなら、ノードを実行しているすべての人（ノードオペレーター、取引所、マイナー、ウォレットサービスなど）が、ブロック7,080,000の前にGethまたはParityの新しいバージョンに更新することを望んでいるからです。ブロック 7,080,000 は、この記事が公開されてから約 32 時間後、つまり 1 月 16 日午後 8 時 (太平洋標準時) / 1 月 16 日午後 11 時 (東部標準時) / 1 月 17 日午前 4 時 (グリニッジ標準時) に採掘されます。

何をすべきか

Ethereum とやり取りするだけの人（ノードを実行していない人）は、何もする必要はありません。

マイナー、取引所、ノードオペレーター:

• Geth や Parity の新しいバージョンがリリースされたら、すぐにバージョンを更新してください。

• これらの新しいバージョンはまだリリースされていません。新しいバージョンが利用可能になったら、この記事を更新します。

• リンクとバージョン番号、および説明がここに提供されます。

• このブログ投稿から 3 ～ 4 時間以内に更新バージョンをリリースする予定です。

ゲス

• 1.8.21にアップグレードするか、

• Geth 1.8.19にダウングレードするか、

• 1.8.20 のままにしますが、スイッチ '-override.constantinople=9999999' を使用して Constantinople フォークを無期限に延期します。

パリティ

• Parity Ethereum 2.2.7-stableにアップグレードする(推奨)

• Parity Ethereum 2.3.0-betaへのアップグレード

• Parity Ethereum 2.2.4-betaへのダウングレード(非推奨)

その他全員:

Ledger、Trezor、Safe-T、Parity Signer、WallEth、Paper Wallets、MyCrypto、MyEtherWallet、およびノー​​ドを同期して実行することでネットワークに参加していないその他のユーザーまたはトークン所有者。

何もする必要はありません。

契約所有者

• 何もする必要はありません。

• 潜在的な脆弱性を調査し、契約を確認することを選択できます。

• ただし、この潜在的な脆弱性をもたらす変更は有効にならないため、何もする必要はありません。

背景

ChainSecurityの記事では、潜在的な脆弱性と、スマートコントラクトの脆弱性をチェックする方法について詳しく説明しています。簡単に言うと:

• EIP-1283により SSTORE 運用のガスコストが削減される

• 一部の（すでにオンチェーンの）スマート コントラクトには、コンスタンティノープル アップグレードの実行後に再入攻撃に対して脆弱になる可能性のあるコード パターンがあります。

• これらのスマートコントラクトはコンスタンティノープルのアップグレードまで影響を受けません。

transfer()またはsend()関数を使用して状態を変更するコントラクトは、攻撃に対してより脆弱になります。このような契約の例としては、2 つの当事者が共同で資金を受け取り、それをどのように分割するかを決定し、その後その資金の支払いを開始することが挙げられます。

コンスタンティノープル延期の決定はいかにしてなされたか

ChainSecurity や TrailOfBits などのセキュリティ研究者は、ブロックチェーン全体の分析を実施しています (現在も実施中です)。実際にそのような脆弱性の事例は見つかりませんでした。しかし、契約に影響が出る可能性はゼロではありません。

リスクはゼロではなく、リスクを排除するために必要な時間は、計画されているコンスタンティノープルのアップグレードまでの残り時間よりも長いため、慎重を期してフォークを延期する決定が下されました。

ディスカッションの参加者には、以下の人々が含まれますが、これらに限定されません。

• セキュリティ研究者

• イーサリアムのステークホルダー

• Ethereum クライアント開発者

• スマートコントラクト所有者/開発者

• ウォレットプロバイダー

• ノード演算子

• Dapp開発者

• メディア

タイムライン

• 午前3時9分（太平洋標準時）

• ChainSecurityは、Ethereum Foundationのバグバウンティプログラムを通じて、潜在的な脆弱性を責任を持って開示しました。

• 午前8時9分（太平洋標準時）

• イーサリアム財団はChainSecurityに調査結果を公表するよう要請した。

• 午前8時11分（太平洋標準時）

• ChainSecurityのオリジナル記事が公開されました

• 午前8時52分（太平洋標準時）

• Martin Holst Swende 氏は、ethsecurity および AllCoreDevs Gitter チャンネルで次のように述べています。「皆さん、こちらをぜひご覧ください: https://medium.com/chainsecurity/constantinople-enables-new-reentrancy-attack-ace4088297d9 。そして、@everyone、潜在的な結果を迅速に判断し、今後の進め方を決める必要があります。フォークまであと 37 時間しかありません。」

• 午前8時52分～午前10時15分（太平洋標準時）

• 潜在的なリスク、オンチェーン分析、さまざまなチャネルを通じてどのような対策を講じる必要があるかについて議論しました。

• 午前10時15分～午後12時40分（太平洋標準時）

• 主要な利害関係者についても、Zoom 音声通話を通じて話し合いました。 Gitterや他のチャンネルでも議論が続いている

• 午前12時8分（太平洋標準時）

• コンスタンティノープルのアップグレード延期を決定

• 午後1時30分（太平洋標準時）

• このブログ投稿は、さまざまなチャネルやソーシャルメディアを通じて公開されました。

この投稿は、EvanVanNess、Infura、MyCrypto、Parity、Status、Ethereum Foundation、Ethereum Cat Herders との共同執筆です。

オリジナルリンク:

https://blog.ethereum.org/2019/01/15/security-alert-ethereum-constantinople-postponement/

著者:ハドソン・ジェイムソン

翻訳・校正： Toya & Ajian