以太坊備受期待的pectra升級在啟用導致空塊開采的漏洞之後,在Sepolia 測試網絡上遇到了乾擾。該升級於3月5日部署,幾個小時後,當開發人員注意到其Geth節點上的錯誤消息時,升級了。
根據以太坊開發商Marius van der Wijden的詳細報告,該團隊在上週三7:30左右在TestNet上發生的存款合約中發現了意外行為。該合約沒有觸發預期的存款事件,而是發出了不正確的轉讓事件。
“在激活硬分叉後不久,我們告訴吉姆·麥克唐納(Jim McDonald)發送存款,以測試Pectra中添加的執行觸發的撤回功能。然後,我們在Geth Node上看到了錯誤消息,並開始看到許多空塊正在開採。” Van der Wijden解釋說。
據報導,錯誤消息寫道:“無法解析存款數據:存款錯誤長度:想要576,有32。”這意味著執行了意外的存款合約令牌ERC-20轉移,破壞了連鎖店的預期行為。
未知的攻擊者利用錯過的邊緣案件
Wijden說,開發人員迅速採取行動部署了修復程序,但是一個被忽視的邊緣案件使未知的攻擊者可以利用該系統。剝削者向存款地址發送了一個零token的轉移,並再次觸發了相同的錯誤,從而導致持續的空塊挖礦。
“我們檢查了存款合約,並確認沒有人可以觸發存款功能(因為它是令牌封閉式,我們只給了可信賴的sepolia的代幣)。不過,我們錯過了ERC20規格中的一個邊緣案例。”開發人員說。
最初,開發人員懷疑這個錯誤來自一個受信任的驗證者,但後來意識到該交易起源於通過水龍頭資助的新帳戶。然後,以太坊的團隊搬家以協調修復推出而無需拆分鏈條。
Wijden說,倉促的發布可能會導致網絡碎片化,因為未更新的節點無法連接到固定鏈。避免危機後,他們計劃進行14:00 UTC的聯合推出,這使團隊有時間準備。
開發人員在進行了其他調查後發現了缺陷:ERC-20標準不會禁止傳輸零令牌。這意味著任何人,無論他們擁有多少個令牌,都可以發送零令牌。這就是導致存款事件的原因。
正如開發人員所描述的那樣,在協調的修復之前三個半小時,塞波利亞據說據說製作了“很多”空塊。為了恢復正常操作,開發人員通過用高薪替換銷售額的交易來刪除觸發利用的交易。
開發人員部署了一個私人修復程序來控制攻擊
以太坊的團隊實施了一個私人修復程序,該修復程序過濾了與存款合約相互作用的交易。考慮到攻擊者正在監視開發人員聊天的懷疑,他們決定立即宣傳修復程序。
“解決方案僅是濾除直接撥打存款合約的交易。如果我們宣傳解決方案,攻擊者將能夠通過從另一個合約中調用合約來規避緩解措施。這些內部呼叫仍然會觸發該事件,但是在創建塊期間,它們並不容易過濾。” Wijden報導。
一旦大約10%的網絡節點被更新,完整的塊開始再次出現。這使鏈條在準備部署時可以運行。
在14:00 UTC,所有節點均已更新到包含最終修復程序的新版本。幾個街區之後,攻擊者的交易成功開采了,證實了所有節點操作員都已經實施了補丁。該事件並不影響以太坊的主網,因為該問題是特定於Sepolia的令牌門控存款合約的特定問題。
它確實影響了所有節點,因為它是規格與塞波利亞的存款合約實施之間的衝突
– Mariusvanderwijden@vdwijden)2025年9月9日
當X社交媒體用戶詢問“攻擊者有什麼可以贏得勝利”時,Wijden回答說:“不,他們沒有任何收益。”
以太坊價格掙扎繼續:市場活動較弱
以太坊仍在顯示出弱點的跡象,在上週降低了其價值的10%以上。劃定的第二大硬幣徘徊在2,000美元左右,這是市場觀察家預測的三個月低支持水平,將下跌。
根據市場技術指標,ETH一直處於持續的下跌趨勢中,較低的高點和低點與看跌的移動平均值形成。如果以太坊無法持有2,000美元,分析師警告說,下一個主要支持水平在1,800美元至1,700美元之間。
儘管30.45的相對強度指數(RSI)表明潛在的短期反彈,但2200美元的阻力是硬幣未能突破24小時以上的水平。
加密貨幣大都會學院:即將推出– 2025年通過DEFI賺取被動收入的新方法。了解更多
資訊來源:由0x資訊編譯自CRYPTOPOLITAN。版權歸作者Florence Muchai所有,未經許可,不得轉載