نشریه کوین تلگراف به نقل از یکی از برنامه‌نویسان اصلی شبکه اتریوم گزارش داده است که آزمون به‌روزرسانی پکترا (Pectra upgrade) اتریوم روی تست نت سپولیا (Sepolia) بعد از حمله یک هکر ناشناس و وادارکردن شبکه به استخراج بلاک‌های خالی، دچار اختلال شده است.

تست نت سپولیا که آخرین شبکه آزمایشی به‌روزرسانی پکترا قبل از راه‌اندازی آن به شمار می‌رود، در تاریخ ۵ مارس آغاز به کار کرد، اما طبق گفته ماریوس ون در ویجن (Marius van der Wijden)، یکی از برنامه‌نویسان اصلی اتریوم، تیم توسعه این به‌روزرسانی بلافاصله پس از راه‌اندازی آن پیغام‌های خطایی را دریافت کردند که نشان می‌داد شبکه دارد بلاک‌های خالی را استخراج می‌کند.

ماریوس در پستی که در تاریخ ۸ مارس به اشتراک گذاشت گفت که این خطا به‌ این‌ علت اتفاق افتاد که قرارداد هوشمند به‌جای واریز وجوه در مقصد آنها را مجدداً در شبکه ارسال می‌کرده است. البته تیم توسعه بلافاصله سعی کردند این مشکل را بر طرف کند؛ اما یکی از کدهای معیوب را جا انداختند و یکی از کاربران ناشناس شبکه هم با ارسال یک زیرو توکن (Token-0) به آدرس واریزی قرارداد، کاری کرد که این خطا دوباره تکرار شود.

بعد از چند دقیقه دوباره تعداد زیادی بلاک‌ خالی در شبکه رویت شد و ما این بار بعد از بازبینی استخر تراکنش‌های شبکه توانستیم تراکنش مهاجمی که باعث تکرار این خطا شده بود را پیدا کنیم.

ماریوس ون در ویجن

پست «ماریوس ون در ویجن» در مورد حادثه حمله به تست نت بروزرسانی پکترا- منبع: Marius van der Wijden

تیم توسعه پکترا در ابتدا فکر می‌کردند که یکی از ولیدیتورهای معتبر شبکه دچار اشتباه شده است؛ اما خیلی سریع متوجه شدند که این تراکنش از یک اکانت جدید که به‌تازگی توسط «فاست» (faucet) شبکه ایجاد شده بود، ارسال شده است.

استاندارد «ERC-20» شبکه اتریوم ارسال زیرو توکن‌ها (توکن‌های فاقد ارزش) را در شبکه ممنوع نکرده است و بدین ترتیب به همه کاربران، حتی کسانی که موجودی حساب آنها صفر است، اجازه می‌دهد که تراکنش‌های خود را در شبکه ارسال کنند. ظاهراً این کاربر جدید از این نقطه‌ضعف اطلاع داشته است و از آن برای ایجاد اختلال در شبکه آزمایشی «سپولیا» استفاده کرده است.

تنها راه متوقف کردن این حمله این بود که همه آدرس‌هایی را که با این قرارداد واریزی ارتباط داشتند، از شبکه حذف کنیم. ما هم این کار را به‌طور مخفیانه روی چند تا از نودهای حلقه توسعه‌دهندگان شبکه اجرا کردیم. شک ما این بود که فرد مهاجم بعضی از پیام‌های ما را می‌خواند. به همین دلیل تصمیم گرفتیم که این‌بار مخفیانه عمل کنیم و برای به دست گرفتن کنترل تعداد بیشتری از بلاک‌های شبکه این به‌روزرسانی را تنها روی چند نود خاص که تحت کنترل ما بود، پیاده کنیم.

ماریوس ون در ویجن

به گفته مارکوس، تا ساعت ۲ بعدازظهر آن روز تمام نودها تعمیر شدند و تراکنش این کاربر هم با موفقیت استخراج و از شبکه خارج شد. طبق گفته او، به دلیل آنکه ما به‌جای قراردادهای واریزی معمول شبکه‌های تست نت از یک قرارداد واریزی «منحصر به توکن» استفاده کرده بودیم، این حمله به شبکه اصلی سرایت نکرد و تمام تراکنش‌های شبکه با موفقیت پردازش و نهایی شدند.

تیم توسعه پکترا این به‌روزرسانی را مدتی قبل در تست نت هولسکی (Holesky) امتحان کرده بودند که البته آن پروژه هم با مشکلات و خطاهای زیادی مواجه شد و شکست خورد. مدیران پروژه هم در آن زمان تصمیم گرفتند که اجرای به‌روزرسانی پکترا را تا زمان انجام آزمون‌های دقیق‌تر به تعویق بیندازند.

به‌روزرسانی پکترا گام بعدی شبکه اتریوم بعد از اجرای به‌روزرسانی یا هارد فورک دنکان (Dencun upgrade) است که در ماه مارس ۲۰۲۴ اجرا شد و با کاهش کارمزد تراکنش‌های شبکه‌های لایه ۲ توانست اقتصاد رول‌آپ‌های شبکه اتریوم (Ethereum rollups) را تقویت کند.

بنیاد اتریوم اخیراً بعد از انتقادهای شدید جامعه کاربران از عملکرد فنی اتریوم، ساختار کلی این سازمان را به‌طورکلی متحول کرد و رهبری این بنیاد را به شیائو ون ونگ (Hsiao-Wei Wang) و توماس استنچک (Tomasz Stańczak) سپرد.