Les développeurs d'Ethereum envisagent de modifier la divulgation publique des bogues critiques après le 11 novembre.fourche dure accidentelle. »
Geth avait corrigé le bogue début octobre suite à une divulgation, mais il existait toujours dans les versions précédentes de Geth. Le bogue a temporairement causé 80% du réseau qui s'exécute sur Geth pour emprunter un chemin différent de celui des autres clients.
Désormais, les développeurs réorganisent le processus de divulgation des vulnérabilités de sécurité à la suite de ce que certains développeurs a appelé la plus grande menace contre Ethereum depuis l'attaque de 2016 contre le DAO.
Cette question vient avec les bagages. Une philosophie commune dans les logiciels open source (OSS) tels qu'Ethereum est que les fournisseurs sont chargés «d'informer en temps opportun les personnes touchées par les vulnérabilités», a déclaré le fondateur de Summa, James Prestwich, à CoinDesk dans un message. En d'autres termes, Geth a la responsabilité de prévenir les utilisateurs dépendants des complications possibles.
Pourtant, les blockchains, au fond, sont des mécanismes de règlement financier. Les méthodes traditionnelles de divulgation des bogues dans OSS peuvent conduire à des résultats indésirables pour d'autres joueurs avec de l'argent en jeu.
In Appel à tous les développeurs de base de vendredi, Le développeur d'Ethereum Micah Zoltu et le chef d'équipe Geth Peter Szilágyi étaient tous deux en désaccord avec la publication d'une liste de notification pour les vulnérabilités critiques. Zoltu a affirmé qu'une telle liste créerait un terrain de jeu inégal pour les projets, tandis que Szilágyi a déclaré que chaque divulgation de bogue crée un point faible dans l'infrastructure d'Ethereum.
Par exemple, divulguer tôt le bogue au fournisseur de services Infura - que la plupart des financements décentralisés (DeFi) utilisent pour se connecter à la blockchain Ethereum - serait un avantage injuste par rapport à ses concurrents. De plus, les conséquences pour le plus grand écosystème pourraient être graves si des informations privilégiées de la liste étaient divulguées à des parties contradictoires.
Compte tenu de l'option à nouveau, Szilágyi a déclaré qu'il procéderait à la divulgation récente de la même manière - c'est-à-dire en gardant le bogue du consensus caché (bien qu'il ait dit à un moment donné au cours de l'appel qu'ils auraient dû informer les utilisateurs qu'une version antérieure de Geth détenait un vulnérabilité). Geth l'a fait pour d'autres vulnérabilités consensuelles, a-t-il déclaré.
«La divulgation est un sujet complexe et la sécurité des utilisateurs est primordiale», a conclu Prestwich.
