La Ethereum Foundation ha pubblicato un blog post delineando una vulnerabilità potenzialmente catastrofica che avrebbe potuto bloccare il mainnet spendendo una cifra irrisoria, risolto soltanto il mese scorso con l'introduzione dell'hard fork Berlin.
Un blog post pubblicato il 18 maggio spiega che la vulnerabilità rappresentava “una grave minaccia contro la piattaforma Ethereum”, fino a che gli aggiornamenti di aprile hanno eliminato tale possibilità.
Il report definisce la minaccia un “segreto pubblico,” affermando che era stato reso pubblico per errore. In seguito all’implementazione dell’hard fork Berlin, la fondazione stima che la minaccia è abbastanza ridotta da consentire una divulgazione completa:
“È importante che la comunità abbia la possibilità di comprendere i ragionamenti alla base di modifiche che influenzano negativamente l’esperienza utente, come aumentare i costi del gas e limitare i rimborsi.”
Il post illustra che Ethereum consiste in un Merkle Patricia Trie, paragonando concettualmente i nuovi conti sul network di Ethereum a nuove foglie cresciute su un albero. Con la crescita del network di Ethereum, da ottobre 2016 sono stati implementati incrementi dei costi del gas per proteggerlo da attacchi denial of service, inclusa la controversa EIP-1884:
“Il DoS di #Ethereum che non è mai avvenuto. Da più di un anno, il mainnet rischiava di essere paralizzato con qualche migliaio di dollari. Dato che ci siamo lasciati tale minaccia alle spalle, è ora di fare luce su questi tempi difficili.”
#Ethereum's DoS that never came to be.
— Go Ethereum (@go_ethereum) May 18, 2021
For over a year, mainnet could have been brought down with a few thousand $. As we've left it in the past, it's time to shed some light on those troubled times.https://t.co/xbPgbyWpcp
Nel 2019, i ricercatori Hubert Ritzdorf, Matthias Egli e Daniel Perez hanno unito le forze per trasformare in un’arma un exploit reso possibile da recenti aggiornamenti. L’attacco provocava ricerche casuali nella struttura Trie che potevano “causare tempi tra blocchi di diversi minuti.” Un report pubblicato quell’anno sosteneva che i ritardi causati dall’attacco sarebbero diventati più lunghi con la crescita del network, “consentendo attacchi DoS efficienti contro Ethereum.”
Dopo la bocciatura di varie proposte degli sviluppatori nel corso del 2020, Vitalik Buteirn ha collaborato con Martin Swende per creare EIP-2929 e EIP-2930, aggiornamenti che incrementavano i prezzi del gas “solo per cose non coinvolte prima” per prevenire l’attacco. Le EIP sono state introdotte il 15 aprile 2021 con l’aggiornamento Berlin. Il post stima che Berlin avvia ridotto di 50 volte l’efficacia dell’exploit.
Ethereum non è l’unico network a confessare la presenza di gravi vulnerabilità dopo l’implementazione di aggiornamenti per proteggersi da tali minacce.
A settembre 2020, i ricercatori crypto Braydond Fuller e Javed Khan hanno pubblicato un report rivelando una “grave” vulnerabilità per soluzioni layer-two costruite sopra BTC, come il Lightning Network. Sebbene stando alle stime il 50% dei nodi di Bitcoin fossero esposti a tale vettore d'attacco, gli autori non hanno identificato nessun tentativo di sfruttare la falla nella sicurezza.