A Proposta de Melhoria do Ethereum 1559 (EIP-1559, na sigla em inglês), cujo objetivo principal é reduzir as taxas na rede, apresentou uma vulnerabilidade grave que foi corrigida nesta semana pelos desenvolvedores.
A vulnerabilidade em questão permitiria a um agente malicioso congestionar a blockchain, impossibilitando seu uso. O responsável por detectar a falha foi Martin Holst Swende, líder de segurança da Fundação Ethereum.
Conforme explicou Swende, a EIP-1559 não incluiu um limite para o valor máximo de comissão dada aos mineradores. Portanto, se o valor for muito alto e muitas transações forem feitas dessa forma, a rede pode ficar sobrecarregada.
Desta forma, isso pode ser considerado um ataque de negação de serviço, ou DDOS, contra a mempool.
Bug no Ethereum
O assunto foi discutido em uma chamada de desenvolvedores que ocorreu em 28 de maio, um dia após Swende identificar o problema.
Tim Beiko, pesquisador da Fundação Ethereum que participou da chamada, explicou que, atualmente, sem a implantação da EIP-1559, esse tipo de ataque não é possível. Isso porque é preciso ter, de fato, os recursos para pagar as comissões.
No entanto, após a ativação da proposta de melhoria, seria possível propor qualquer valor como comissão aos mineradores, mesmo que os recursos sejam insuficientes. Consequentemente, essas transações de “gorjetas falsas” poderiam tornar a rede inutilizável.
Para solucionar o problema, Swende sugeriu adicionar quatro linhas de código à proposta de aprimoramento. Essas atualizações visam evitar que as comissões sejam de um número “incrivelmente grande”.
Além disso, ficou estabelecido que o remetente deve ser capaz de cobrir todos os recursos máximos que reivindicar.
“Depois de um pouco de discussão, finalmente decidimos que era mais seguro adicioná-lo agora. Se alguém tiver um motivo forte para não ter essa verificação, poderíamos removê-la em uma atualização de rede futura com bastante facilidade”, explicou Beiko.
Por fim, embora a vulnerabilidade tenha sido corrigida, Beiko acrescentou que serão necessários testes assim que a EIP for implementada.