9 ноября в Twitter-аккаунте Netta Lab появилось заявление о том, что эта организация обнаружила уязвимость в виртуальной машине Ethereum, которая позволяет бесконечно исполнять смарт-контракты, не оплачивая газ в сети. Также исследователи якобы обратились к оператору американской базы данных уязвимостей, где зарегистрировали соответствующее открытие.
Netta Labs discovered an Ethereum EVM vulnerability, which could be exploited by hackers. The vulnerability can cause smart contracts can be executed indefinitely without gas being paied.
— Netta Lab (@NettaLab) 9 ноября 2018 г.
По запросу Netta Lab в Google можно отыскать сайт проекта netto.io, который специализируется на аудите смарт-контрактов под брендом Netta Lab, однако Twitter-аккаунты проектов не совпадают. Отметим, что сообщивший об уязвимости профиль зарегистрирован в ноябре.
Многие пользователи выразили сомнения на счет подлинности появившейся информации, однако затем создатель проекта NEO Да Хонгвей сообщил, что общался с CEO Netta Labs и попросил исследователей провести аудит виртуальной машины NEO.
Briefly talked with the CEO regarding the security issue. It seems quite serious. I am asking the team to check NeoVM also. https://t.co/2Vk9gUZn1S
— Da Hongfei (@dahongfei) 9 ноября 2018 г.
«Я коротко поговорил с главой [Netta Labs]. Уязвимость выглядит довольно серьезной», — подчеркнул он.
Тем не менее Виталик Бутерин на Reddit написал, что речь идет об уязвимости в Python-имплементации виртуальной машины, о которой впервые написали на GitHub 9 дней назад. Это означает, что основные клиенты (go-ethereum; parity и cpp-ethereum) проблема не затрагивает.
Добавим, что в пятницу вечером биткоин-разработчик Мэтт Оделл также сообщил о потенциальной уязвимости в протоколе Ethereum, которая ставит под угрозу средства на криптовалютных биржах.
Potential ethereum vulnerability. No details publicly released yet. https://t.co/M6DtfJC0mt
— Matt Odell (@matt_odell) 9 ноября 2018 г.
Первым о рисках для инфраструктуры некоторых платформ заявил dApp-разработчик Level K, однако детали пока не раскрываются.
We will shortly disclose a security issue that could potentially cause exchanges a loss of funds. In order to receive advance notice prior to disclosure, please add your name to the following list via pull request, or by DM’ing @trailofbits or @levelk_io: https://t.co/2Y5niurffl
— Level K (@levelk_io) 9 ноября 2018 г.
Напомним, хардфорк Constantinople в основной сети Ethereum предположительно состоится 16 января 2019 года.