ニュース

Ethereum大型アップデート「コンスタンティノープル」が延期、スマートコントラクトの脆弱性発見のため

ノード運用者はソフトウェア更新が必要だが、エンドユーザーは対応の必要なし

 Ethereum Foundationは日本時間1月16日7時頃、近日実装を予定していたEthereum(ETC)の大型アップデート「コンスタンティノープル」の延期を発表した。延期の理由は、新規実装項目に由来するリエントランシ攻撃に対するスマートコントラクトの脆弱性が発見されたためとしている。

 本延期に伴って、ノード運用者は本来の更新予定ブロックであった第708万ブロックが生成される(1月17日13時頃)までに、利用中のノード運用ソフトウェアを更新する必要がある。記事執筆時点でGeth(1.8.21)とParity(2.2.7-stable、2.3.0-beta)がリリースされており、至急アップデートすることが推奨されている。エンドユーザー(非ノード運用者)は、本延期に対して対応を実施する必要はないとのこと。

 リエントランシ攻撃といえば2016年6月に発生し約50億円の被害が生じた「The DAO事件」が有名だ。今回発見されたリエントランシ攻撃に対する脆弱性は、コンスタンティノープルで実装予定の項目EIP-1283に含まれる「スマートコントラクトのストレージ費用計算方式の変更」に由来する。新規実装部分に由来するものであるため、現行バージョンのEthereumはこの脆弱性を持っていないとのこと。詳細な仕組みはChainsecurityのリリースをご確認いただきたい。