مشکلات ناشی از حمله ناشناس در به‌روزرسانی Pectra در Sepolia

مشکلات ناشی از حمله ناشناس در به‌روزرسانی پکترا در سپولیا

یک توسعه‌دهنده اتریوم اعلام کرده است که به‌روزرسانی اخیر پکترا در شبکه آزمایشی سپولیا با خطاهایی مواجه شده است. این مشکلات به دلیل سوءاستفاده از یک “حالت لبه” توسط یک مهاجم، منجر به استخراج بلاک‌های خالی گردید.

زمان و دلایل بروز مشکلات

پکترا در تاریخ 5 مارس ساعت 7:29 صبح بر روی آخرین شبکه آزمایشی خود، سپولیا، راه‌اندازی شد. اما ماریوس ون در ویدن، توسعه‌دهنده اتریوم، در یک پست در تاریخ 8 مارس اشاره کرد که تیم بلافاصله با پیام‌های خطا در نود گت و استخراج بلاک‌های خالی مواجه شد.

این خطا به دلیل تحریک نادرست نوع رویداد توسط قرارداد واریز بود؛ به جای یک رویداد واریز، یک رویداد انتقال ایجاد شد. پس از این، یک اصلاحیه منتشر شد، اما ون در ویدن بیان کرد که آن‌ها یک حالت لبه را از دست دادند و یک کاربر ناشناس با ارسال یک انتقال صفر توکن به آدرس واریز، دوباره این خطا را تحریک کرد.

تأثیرات و واکنش‌ها

ون در ویدن گفت: “پس از چند دقیقه، دوباره شاهد بلاک‌های خالی زیادی بودیم و به بررسی استخرهای تراکنش پرداختیم و یک تراکنش مشکل‌ساز دیگر را یافتیم که همان حالت‌های لبه را تحریک کرده بود.” در ابتدا تصور می‌کردند که یکی از اعتباردهندگان مورد اعتماد اشتباهی مرتکب شده است، اما به سرعت متوجه شدند که این تراکنش از یک حساب جدید بود که به تازگی از طریق فاست تأمین مالی شده بود.

چرا این مشکل پیش آمد؟

استاندارد ERC-20 انتقال صفر توکن را ممنوع نمی‌کند، به همین دلیل هر کسی، حتی اگر هیچ توکنی نداشته باشد، می‌تواند به آدرس دیگری انتقال انجام دهد. این موضوع به مهاجم این امکان را داد که از این قابلیت بهره‌برداری کند.

راه‌حل‌های اتخاذ شده

ون در ویدن ادامه داد: “تنها راه برای جلوگیری از این حمله، فیلتر کردن تمام تراکنش‌هایی بود که با قرارداد واریز تعامل داشتند. بنابراین ما یک اصلاحیه خصوصی را ایجاد کردیم که آن را به چند نود DevOps خود مستقر کردیم.”

او افزود: “ما مشکوک بودیم که مهاجم در حال خواندن برخی از چت‌های ماست، بنابراین تصمیم گرفتیم که اصلاحیه را عمومی نکنیم و فقط چند نود را که تحت کنترل ما بودند، به‌روزرسانی کنیم تا بلاک‌های کامل‌تری در شبکه ایجاد کنیم.”

نتیجه‌گیری و پیشرفت‌ها

تا ساعت 2 بعد از ظهر، تمام نودها با اصلاحیه به‌روزرسانی شدند و تراکنش کاربر ناشناس با موفقیت استخراج شد. ون در ویدن تأکید کرد که آن‌ها در طول این حادثه هرگز نهایی‌سازی را از دست ندادند و مشکل تنها مختص سپولیا بود زیرا از یک قرارداد واریز با توکن‌گیت استفاده می‌کردند، نه از قرارداد واریز معمولی شبکه اصلی.

تأخیر در به‌روزرسانی پکترا

توسعه‌دهندگان قبل از این، به‌روزرسانی پکترا را در شبکه آزمایشی هولسکی در تاریخ 26 فوریه آزمایش کرده بودند که آن نیز با مشکلاتی مواجه شد. در نتیجه، تصمیم گرفته شد که به‌روزرسانی پکترا تا انجام تست‌های بیشتر به تعویق بیفتد.

تحولات جدید در بنیاد اتریوم

بنیاد اتریوم به تازگی ساختار رهبری جدیدی را با دو مدیر مشترک، هسیاو-وی وانگ و تاماش استانچاک، معرفی کرده است که رهبری بنیاد را بر عهده گرفته‌اند. این تغییرات می‌تواند به بهبود روند توسعه و مدیریت پروژه‌های آتی کمک کند.