در آخرین آزمایش به روزرسانی Pectra در شبکه آزمایشی Sepolia اتریوم، یک مشکل جدی رخ داد که ناشی از حمله ای از سوی یک کاربر ناشناس بود.
این حمله با ارسال تراکنش های توکن صفر، باعث ایجاد بلوک های خالی در شبکه شد و توسعه دهندگان را با چالش های بیشتری روبه رو کرد.
مشکلات به روزرسانی در Sepolia
به روزرسانی Pectra بر روی شبکه آزمایشی Sepolia در تاریخ ۵ مارس ۲۰۲۴ ساعت ۷:۲۹ صبح راه اندازی شد. با این حال، ماریوس ون در ویدن، یکی از توسعه دهندگان اتریوم، اعلام کرد که تیم بلافاصله با پیام های خطا در نودهای گِت خود مواجه شد و استخراج بلوک های خالی آغاز شد. دلیل این مشکل به اشتباه در نوع رویدادی بود که توسط قرارداد سپرده گذاری تحریک شده بود؛ به جای رویداد سپرده گذاری، رویداد انتقال فعال شده بود.
تلاش برای حل مشکل و سوءاستفاده مهاجم ناشناس
برای رفع این مشکل، تیم یک اصلاحیه ایجاد کرد، اما متأسفانه یک حالت لبه را از دست دادند. مهاجم ناشناس از این فرصت سوءاستفاده کرد و با ارسال یک تراکنش توکن صفر به آدرس سپرده گذاری، باعث شد که خطا دوباره ظاهر شود. این موضوع باعث شد تا توسعه دهندگان دوباره به استخر تراکنش ها نگاه کنند و تراکنش مشکل ساز دیگری که همان حالت لبه را تحریک کرده بود، پیدا کنند.
شناسایی مهاجم و راه حل موقت
در ابتدا، توسعه دهندگان تصور کردند که یکی از ولیداتورهای معتبر اشتباهی مرتکب شده است، اما پس از بررسی بیشتر، متوجه شدند که تراکنش مورد نظر از حسابی جدید آمده که به تازگی از طریق فاست تأمین مالی شده بود. نکته جالب اینجاست که استاندارد ERC-20 هیچ گونه محدودیتی برای انتقال توکن صفر ندارد، بنابراین هر کسی می تواند حتی بدون داشتن توکن، به آدرسی دیگر انتقال انجام دهد.
برای جلوگیری از ادامه حمله، تیم تصمیم گرفت که یک راه حل خصوصی ایجاد کند و تنها آن را به برخی نودهای خاص خود که تحت کنترل داشتند، اعمال کند. هدف این بود که با فیلتر کردن تراکنش هایی که با قرارداد سپرده گذاری تعامل دارند، از استخراج بلوک های خالی جلوگیری کنند.
اعمال اصلاحیه و نتیجه نهایی
تا ساعت ۲ بعد از ظهر همان روز، تمامی نودها با اصلاحیه جدید به روزرسانی شدند و تراکنش مهاجم ناشناس به طور موفقیت آمیز استخراج شد. در طول این حادثه، تیم توسعه دهندگان اعلام کرد که هیچ گاه فرآیند نهایی سازی شبکه مختل نشد و این مشکل محدود به شبکه آزمایشی Sepolia بود، چرا که در آن از یک قرارداد سپرده گذاری خاص با توکن های گیت token-gated شده استفاده می شد.
به تعویق افتادن به روزرسانی Pectra
پیش از این، تیم توسعه دهندگان Pectra را در شبکه آزمایشی هولسکی Holesky نیز تست کرده بودند، اما آنجا نیز مشکلات مشابهی به وجود آمده بود. به همین دلیل، تصمیم گرفته شد که به روزرسانی Pectra تا انجام آزمایشات بیشتر به تعویق بیفتد.
آینده Pectra و به روزرسانی های بعدی
Pectra پس از به روزرسانی Dencun شبکه اتریوم عرضه می شود که هدف آن کاهش هزینه تراکنش ها برای شبکه های لایه ۲ و بهبود اقتصاد رول آپ های اتریوم است. این به روزرسانی در تاریخ ۱۳ مارس ۲۰۲۴ منتشر خواهد شد.
تغییرات در رهبری بنیاد اتریوم
همچنین، بنیاد اتریوم اخیراً ساختار رهبری جدیدی را معرفی کرده است که دو مدیر مشترک، Hsiao-Wei Wang و Tomasz Stańczak، مسئولیت هدایت این بنیاد را به عهده خواهند گرفت.
