近日,以太坊在Sepolia测试网上进行的Pectra升级遭遇了问题,这一事件的复杂性因一个未知攻击者的丑闻而加剧。该攻击者利用“边缘用例”,通过发送0代币转账,导致空块挖矿,从而影响了网络的正常运行。 Pectra升级在2025年3月5日上午7点29分正式推出,但以太坊开发者Marius van der Wijden在3月8日的帖子中表示,团队立即开始看到他们的geth节点出现错误信息,并且又出现了空块挖矿的现象。 这次错误的根本原因是存款合约触发了错误类型的事件——传输事件而不是存款事件。虽然已经推出了修复方案,但van der Wijden表示,他们错过了一个边缘用例,结果被一个未知用户利用,通过向存款地址发送0代币转账再次触发了该错误。 “几分钟后,我们又看到许多空块,因此我们再次查看交易池,发现了另一个引发同样边缘用例的有问题交易,”van der Wijden解释说。
起初,开发团队以为这是某个可信验证者的失误,但很快他们意识到这个交易实际上来自一个最近通过水龙头资金资助的新账户。根据ERC-20标准,0代币转账并不被禁止,这允许任何人,即使他们没有拥有任何代币,也能够向另一个地址进行转账。这一漏洞被那位未知用户所利用。 “要阻止这个攻击的唯一方法是过滤掉所有与存款合约交互的交易。因此我们实施了以下私密修复,并部属到我们控制的部分DevOps节点上。”van der Wijden补充道。
他还透露,由于他们怀疑攻击者可能正在阅读他们的聊天记录,因此决定不公开修复方案,只对少数节点进行更新,以期望在网络上获得更多完整块的挖矿结果。 到了下午2点,所有节点都已更新并应用了修复,而那位未知用户的交易也成功被挖掘。尽管遭遇了这些问题,van der Wijden表示,他们没有失去网络的最终确定性,并且此次事件仅限于Sepolia,因为他们使用的是一种基于代币的存款合约,而非正常主网的存款合约。 此次事件的发生引发了对Pectra升级未来的讨论。实际上,在2月26日,开发者们在Holesky测试网上测试此升级时便已遇到过问题。因此,在进行更多测试之前,他们决定推迟Pectra升级。
Pectra分叉是以太坊在Dencun升级后的一项重要更新,后者降低了Layer-2网络的交易费用,改善了以太坊的滚动经济学。Dencun硬分叉于2024年3月13日推出,致力于提高网络的使用体验以及经济效益。 在经历了这一系列的挑战后,以太坊基金会最近还调整了领导结构,由Hsiao-Wei Wang和Tomasz Stańczak共同担任基金会的联合主任,以引导以太坊更好地与社区和开发者互动。 总体来看,这一事件不仅暴露出Pectra升级过程中的技术难题,也提示了开发团队在未来工作中更需关注网络安全,认真评估可能出现的安全漏洞。开发者的回应和修复措施也展现了以太坊社区在面对挑战时的快速响应能力。 作为全球领先的区块链平台,以太坊的每次升级都备受关注。
为了保持其在加密领域的领先地位,开发团队需要不断推进技术创新,同时确保网络的安全性和可靠性。
