Tommaso Daniels
A causa di un utente non identificato che ha sfruttato una vulnerabilità di rete, l'ultimo aggiornamento Pectra di Ethereum sulla testnet Sepolia ha subito interruzioni impreviste. Il problema è sorto dall'estrazione di blocchi vuoti causata da un evento di contratto di deposito non riuscito.
L'ingegnere del core Marius van der Wijden ha osservato l'8 marzo che l'aggiornamento, implementato alle 7:29 del 5 marzo, ha riscontrato problemi immediati sul nodo geth di Ethereum. La causa principale è stata un contratto di deposito che ha emesso inavvertitamente un evento di trasferimento anziché un evento di deposito.
Nonostante l'introduzione di un rimedio, il team non è riuscito a considerare una situazione limite, che ha consentito a un utente anonimo di effettuare trasferimenti zero-token all'indirizzo di deposito. L'errore è stato riacceso da questa attività, che ha portato a un ulteriore mining di blocchi vuoti.
Van van Wijden pensò inizialmente che le transazioni fossero il risultato di un errore non intenzionale del validatore, ma in seguito scoprì che provenivano da un account appena caricato a cui si accedeva tramite un faucet. Lo standard del token ERC-20 ha un difetto che consente trasferimenti di valore zero, di cui l'attaccante ha approfittato.
Gli sviluppatori credevano che l'attaccante stesse tenendo d'occhio le conversazioni interne, quindi hanno segretamente applicato una patch speciale ad alcuni nodi DevOps per combattere l'interruzione. Tutti i nodi erano stati aggiornati entro le 2:00 pm, momento in cui la rete è tornata al suo normale funzionamento.
L'incidente non ha avuto ripercussioni sulla finalizzazione e il problema è stato limitato a Sepolia, dove gli sviluppatori avevano optato per un contratto di deposito basato su token anziché il tradizionale contratto mainnet.
Dopo un problema precedente sulla testnet di Holesky del 26 febbraio, questo rappresenta il secondo significativo ostacolo per l'aggiornamento di Pectra. Di conseguenza, gli sviluppatori di Ethereum hanno deciso di ritardare il lancio completo di Pectra fino a dopo ulteriori test.
L'aggiornamento arriva dopo l'hard fork Dencun di Ethereum, che ha introdotto una migliore efficienza di rollup e costi di transazione Layer-2 inferiori il 13 marzo 2024. Nel frattempo, Hsiao-Wei Wang e Tomasz Stańczak hanno assunto il ruolo di co-direttori della Ethereum Foundation, che ha implementato una nuova struttura di leadership.
