Das mit Spannung erwartete Pectra-Upgrade von Ethereumstieß im Sepolia-Testnetz auf Störungen, nachdem eine Sicherheitslücke ausgenutzt wurde, die zum Mining leerer Blöcke führte. Das Upgrade, das am 5. März bereitgestellt wurde, verursachte wenige Stunden später Probleme, als Entwickler Fehlermeldungen auf ihrem Geth-Knoten bemerkten.
Laut einem detaillierten Bericht des Ethereum Entwicklers Marius van der Wijden entdeckte das Team am vergangenen Mittwoch gegen 7:30 Uhr UTC ein unerwartetes Verhalten im Einzahlungsvertrag trac Testnetz. Anstatt die erwartete Einzahlung auszulösen, führte der Vertrag zu trac fehlerhaften Überweisung.
„ Kurz nach der Aktivierung des Hard Forks wiesen wir Jim McDonald an, eine Einzahlung zu tätigen, um die in Pectra eingeführte, ausführungsgesteuerte Auszahlungsfunktion zu testen. Daraufhin traten Fehlermeldungen auf unserem Geth-Knoten auf, und wir stellten fest, dass viele leere Blöcke geschürft wurden “, erklärte van der Wijden.
Die Fehlermeldung lautete angeblich: „Einzahlungsdaten konnten nicht analysiert werden: Falsche Länge der Einzahlung: Erwartet werden 576, erhalten werden 32.“ Dies bedeutete, dass ein unerwarteter, tokenbasierter ERC-20-Transfer im Rahmen einestracausgeführt wurde, was das erwartete Verhalten der Blockchain störte.
Unbekannter Angreifer nutzt einen übersehenen Sonderfall aus
Wijden erklärte, die Entwickler hätten zwar schnell reagiert und einen Fix bereitgestellt, doch ein übersehener Sonderfall habe es einem unbekannten Angreifer ermöglicht, das System auszunutzen. Der Angreifer habe eine Überweisung ohne Token an die Einzahlungsadresse gesendet und so denselben Fehler erneut ausgelöst, was zu fortgesetztem Mining leerer Blöcke geführt habe.
„ Wir haben den Einzahlungsvertrag geprüft trac sichergestellt, dass niemand die Einzahlungsfunktion auslösen kann (da sie tokenbasiert ist und wir für Sepolia nur Token an vertrauenswürdige Parteien ausgegeben haben). Wir haben jedoch einen Sonderfall in der ERC20-Spezifikation übersehen “, bemerkte der Entwickler.
Zunächst vermuteten die Entwickler, der Fehler stamme von einem vertrauenswürdigen Validator , erkannten aber später, dass die Transaktion von einem neuen, über eine Bitcoin-Faucet aufgeladenen Konto stammte. Ethereum -Team koordinierte daraufhin die Fehlerbehebung, ohne die Blockchain zu spalten.
Wijden erklärte, eine überstürzte Veröffentlichung hätte zu einer Netzwerkfragmentierung führen können, da nicht aktualisierte Knoten keine Verbindung zur korrigierten Blockchain hätten herstellen können. Nachdem die Krise abgewendet werden konnte, planten sie einen gemeinsamen Rollout um 14:00 Uhr UTC, wodurch die Teams genügend Zeit zur Vorbereitung hatten.
Die Entwickler entdeckten den Fehler nach eingehender Untersuchung: Der ERC-20-Standard verbietet keine Überweisungen von null Token. Das bedeutet, dass jeder, unabhängig von der Anzahl seiner Token, eine Überweisung von null Token tätigen konnte. Genau dies löste das Einzahlungsereignis aus.
Dreieinhalb Stunden vor der koordinierten Behebung des Problems Sepolia angeblich „viele“ leere Blöcke erzeugt. Um den Normalbetrieb zwischenzeitlich wiederherzustellen, entfernten die Entwickler die Transaktionen, die den Exploit auslösten, und ersetzten sie durch lukrativere.
Die Entwickler haben einen privaten Fix bereitgestellt, um den Angriff einzudämmen
Ethereum-Team implementierte eine interne Lösung, die Transaktionen im Zusammenhang mit demtracherausfilterte. Da der Verdacht bestand, dass der Angreifer die Entwicklerchats überwachte, entschied man sich gegen eine sofortige Veröffentlichung der Lösung.
„ Die Korrektur filtert lediglich Transaktionen heraus, die den Einzahlungsvertrag direkt aufrufen trac Hätten wir die Korrektur veröffentlicht, hätte der Angreifer unsere Schutzmaßnahme umgehen können, indem er den Vertrag von einem anderen Vertrag aus aufgerufen hätte trac Diese trac Aufrufe würden zwar weiterhin das Ereignis auslösen, wären aber bei der Blockgenerierung nicht so einfach herauszufiltern berichtete Wijden .
Nachdem etwa 10 % der Knoten im Netzwerk aktualisiert waren, erschienen wieder vollständige Blöcke. Dadurch konnte die Blockchain weiter funktionieren, während der vollständige Patch für die Bereitstellung vorbereitet wurde.
Um 14:00 Uhr UTC wurden alle Nodes auf die neue Version mit dem finalen Fix aktualisiert. Wenige Blöcke später wurde die Transaktion des Angreifers erfolgreich gemined, was bestätigte, dass alle Node-Betreiber den Patch implementiert hatten. Derdent hatte keine Auswirkungen auf Ethereum-Mainnet, da das Problem spezifisch für den tokenbasiertentracvon Sepolia war.
Es betraf alle Knotenpunkte, da es zu einem Konflikt zwischen der Spezifikation und der Implementierung destracauf Sepolia kam
– MariusVanDerWijden (@vdWijden) 9. März 2025
Auf die Frage eines X-Nutzers in den sozialen Medien, ob der Angreifer durch die Ausnutzung der Testnet-Schwachstelle etwas zu gewinnen gehabt habe, antwortete Wijden: „ Nein, sie hatten nichts davon .“
Ethereum kämpft weiterhin mit Preisproblemen: Die Marktaktivität ist schwächer
Ethereum zeigt weiterhin Schwäche und hat in der letzten Woche über 10 % seines Wertes eingebüßt. Die nach Marktkapitalisierung zweitgrößte Kryptowährung pendelt um die 2.000-Dollar-Marke, einem Dreimonatstief, dessen weiteren Rückgang Marktbeobachter prognostizieren.
Laut technischen Marktindikatoren befindet sich ETH in einem anhaltenden Abwärtstrend mit niedrigeren Hochs und Tiefs sowie fallenden gleitenden Durchschnitten. Sollte Ethereum von 2.000 US-Dollar nicht halten können, warnen Analysten, dass die nächsten wichtigen Unterstützungsniveaus zwischen 1.800 und 1.700 US-Dollar liegen.
Obwohl der Relative-Stärke-Index (RSI) bei 30,45 auf eine mögliche kurzfristige Erholung hindeutet, stellt die Währung seit über 24 Stunden einen Widerstand bei 2.200 US-Dollar dar, den sie nicht durchbrechen konnte.
