在Sepolia上进行Pectra升级时，不明攻击者引发了异常

一位以太坊开发者表示，最近在Sepolia测试网上进行的Pectra升级出现了错误，而一名攻击者利用了一个“边缘案例”触发漏洞，导致区块链上持续挖掘空块，使问题愈发严重。Pectra于3月5日上午7:29在其最终测试网Sepolia上线，但以太坊开发者Marius van der Wijden在3月8日的帖子中表示，团队随即在他们的geth节点上看到了错误信息，并观察到网络开始挖掘大量空块。Van der Wijden解释称，问题的根源在于存款合约触发了错误的事件类型——本应触发存款事件，却意外触发了转账事件。尽管团队随后迅速推出了修复补丁，但Van der Wijden表示，他们在修复过程中遗漏了一个边缘案例，导致漏洞仍然存在。一名未知用户随即利用该漏洞，向存款地址发送零代币转账，导致错误再次发生。他说：“几分钟后，我们又看到了大量空区块，于是我们再次检查交易池，发现了另一笔触发相同边缘案例的违规交易。”来源：Marius van der Wijden“最初我们以为这是某个受信任的验证者在操作中发生了失误，但很快我们意识到，这笔交易实际上来自一个刚刚通过水龙头获得资金的新账户。”Van der Wijden表示，ERC-20标准并不禁止零代币转账，这意味着即便用户账户中没有任何代币，也可以向另一个地址进行转账，而这正是该未知用户利用的攻击手法。“阻止攻击的唯一方法是筛选出所有与存款合约交互的交易。所以我们做了私密修复程序，并将其部署到部分DevOps节点上。”他补充道：“我们怀疑攻击者正在监视我们的部分聊天记录，因此我们决定不公开修复程序，而是仅更新我们掌控的几个节点，以便在网络中生成更多完整区块。来源：Marius van der Wijden到当天下午2点，所有节点均已完成修复更新，异常用户的交易最终被成功挖出。Van der Wijden强调，尽管本次事件影响了Sepolia测试网的正常运行，但并未影响最终确认，且该问题仅限于Sepolia测试网，因为他们在该网络上使用了基于代币的存款合约，而非正常的主网存款合约。值得一提的是，早在2月26日，开发团队便已在Holesky测试网进行了Pectra升级的前期测试，但遇到了类似问题。因此，基于近期的测试经验，开发团队决定推迟Pectra升级的主网上线，直至完成更多测试以确保其稳定性。Pectra分叉是继以太坊Dencun升级之后的又一次重大网络升级。Dencun升级已于2024年3月13日正式上线，该升级大幅降低了以太坊Layer-2网络的交易费用，并优化了Rollup的经济模型。以太坊基金会近期宣布了新的管理架构，由Hsiao-Wei Wang和Tomasz Stańczak担任联合执行董事，共同领导该基金会。相关推荐：以太坊价格出现 “双重顶”，随着以太坊牛市结束，预示着价格可能下跌42%