L'attesissimo aggiornamento Pectra di Ethereumha riscontrato interruzioni sulla testnet Sepolia a seguito di un exploit che ha portato al mining di blocchi vuoti. L'aggiornamento, implementato il 5 marzo, ha riscontrato problemi poche ore dopo, quando gli sviluppatori hanno notato messaggi di errore sul loro nodo geth.
Secondo un rapporto dello Ethereum Marius van der Wijden, il team ha scoperto un comportamento inaspettato nel contratto di deposito, trac sulla testnet intorno alle 7:30 UTC di mercoledì scorso. Invece di attivare l'evento di deposito previsto, il contratto trac emesso un evento di trasferimento errato.
" Poco dopo l'attivazione dell'hard fork, abbiamo chiesto a Jim McDonald di inviare un deposito per testare la funzionalità di prelievo attivata dall'esecuzione aggiunta in Pectra. Abbiamo quindi visualizzato messaggi di errore sul nostro nodo geth e abbiamo iniziato a vedere molti blocchi vuoti estratti ", ha spiegato van der Wijden.
Il messaggio di errore riportato recitava: "Impossibile analizzare i dati del deposito: lunghezza del deposito errata: desidera 576, ne ha 32". Ciò significava che era stato eseguito un trasferimento ERC-20 token-gated deltracdi deposito inaspettato, interrompendo il comportamento previsto della catena.
Un aggressore sconosciuto sfrutta un caso limite mancato
Wijden ha affermato che gli sviluppatori si sono mossi rapidamente per implementare una correzione, ma un caso limite trascurato ha permesso a un aggressore sconosciuto di sfruttare il sistema. L'aggressore ha inviato un trasferimento di zero token all'indirizzo di deposito ed è riuscito a generare nuovamente lo stesso errore, causando il continuo mining di blocchi vuoti.
" Abbiamo controllato il contratto di deposito trac verificato che nessuno potesse attivare la funzionalità di deposito (perché è token gated e abbiamo distribuito token solo a soggetti fidati per Sepolia). Tuttavia, abbiamo tralasciato un caso limite nelle specifiche ERC20 ", ha osservato lo sviluppatore.
Inizialmente, gli sviluppatori sospettavano che l'errore provenisse da un validatore , ma in seguito si sono resi conto che la transazione proveniva da un nuovo account finanziato tramite un faucet. Ethereum si è quindi mosso per coordinare l'implementazione della correzione senza dividere la catena.
Wijden ha affermato che un rilascio affrettato avrebbe potuto causare la frammentazione della rete, poiché i nodi non aggiornati non sarebbero stati in grado di connettersi alla catena fissa. Dopo aver scongiurato la crisi, hanno pianificato un lancio congiunto per le 14:00 UTC, il che ha dato ai team il tempo di prepararsi.
Gli sviluppatori hanno scoperto la falla dopo ulteriori indagini: lo standard ERC-20 non vieta i trasferimenti di zero token. Ciò significa che chiunque, indipendentemente dal numero di token posseduti, potrebbe inviare un trasferimento di zero token. Questo è ciò che ha causato l'evento di deposito.
Tre ore e mezza prima della correzione coordinata, come descritto dallo sviluppatore, Sepolia avrebbe prodotto "molti" blocchi vuoti. Per ripristinare il normale funzionamento nel frattempo, gli sviluppatori hanno rimosso le transazioni che innescavano l'exploit, sostituendole con altre più remunerative.
Gli sviluppatori hanno implementato una correzione privata per contenere l'attacco
Il team di Ethereumha implementato una correzione privata che ha filtrato le transazioni che interagivano con iltracdi deposito. Dato il sospetto che l'aggressore stesse monitorando le chat degli sviluppatori, hanno deciso di non rendere pubblica la correzione immediatamente.
" La correzione filtra solo le transazioni che chiamano direttamente il contratto di deposito trac Se avessimo reso pubblica la correzione, l'attaccante sarebbe stato in grado di aggirare la nostra mitigazione chiamando il contratto trac un altro trac . Queste chiamate interne avrebbero comunque attivato l'evento, ma non sarebbero state facili da filtrare durante la creazione del blocco ", ha riferito .
Una volta aggiornato circa il 10% dei nodi della rete, i blocchi completi hanno ricominciato a comparire. Ciò ha permesso alla catena di funzionare mentre la patch completa veniva preparata per la distribuzione.
Alle 14:00 UTC, tutti i nodi sono stati aggiornati alla nuova versione contenente la correzione finale. Pochi blocchi dopo, la transazione dell'attaccante è stata estratta con successo, confermando che tutti gli operatori dei nodi avevano implementato la patch. L'dent non ha interessato la mainnet di Ethereum, poiché il problema riguardava specificamente iltracdi deposito token-gated di Sepolia.
Ha avuto ripercussioni su tutti i nodi, poiché si è trattato di un conflitto tra le specifiche e l'implementazione deltracdi deposito su Sepolia
— MariusVanDerWijden (@vdWijden) 9 marzo 2025
Quando un utente X del social media gli ha chiesto se "l'aggressore avesse qualcosa da guadagnare" sfruttando il problema della testnet, Wijden ha risposto: " No, non aveva nulla da guadagnarci ".
Continuano le difficoltà per il prezzo Ethereum : l'attività di mercato è più debole
Ethereum continua a mostrare segni di debolezza, perdendo oltre il 10% del suo valore nell'ultima settimana. La seconda criptovaluta per capitalizzazione di mercato si è attestata intorno ai 2.000 dollari, un livello di supporto ai minimi degli ultimi tre mesi che gli osservatori del mercato prevedono scenderà ulteriormente.
Secondo gli indicatori tecnici di mercato, ETH è in un continuo trend ribassista, con massimi e minimi decrescenti che si formano insieme a medie mobili ribassiste. Se Ethereum non riuscisse a mantenere i 2.000 dollari, gli analisti avvertono che i prossimi livelli di supporto principali si troverebbero tra 1.800 e 1.700 dollari.
Sebbene l'indice di forza relativa (RSI) a 30,45 suggerisca un potenziale rimbalzo a breve termine, la resistenza a 2.200 $ è un livello che la moneta non è riuscita a superare per oltre 24 ore.
