Os desenvolvedores do Ethereum estão avaliando mudanças na divulgação pública de bugs críticos após 11 de novembro “garfo duro acidental. " 

Geth corrigiu o bug no início de outubro após uma divulgação, mas ele ainda existia em versões anteriores do Geth. O bug causou temporariamente 80% da rede que é executado no Geth para seguir um caminho diferente de outros clientes.

Agora, os desenvolvedores estão reordenando o processo de divulgação de vulnerabilidades de segurança após o que alguns desenvolvedores tenho chamado a maior ameaça contra Ethereum desde o ataque de 2016 ao DAO. 

Essa pergunta vem com bagagem. Um ethos comum em software de código aberto (OSS), como o Ethereum, é que os fornecedores têm a tarefa de “notificar as pessoas afetadas pelas vulnerabilidades em tempo hábil”, disse o fundador da Summa, James Prestwich, à CoinDesk em uma mensagem. Em outras palavras, Geth tem a responsabilidade de alertar os usuários dependentes sobre possíveis complicações.

No entanto, as blockchains, na sua essência, são mecanismos de liquidação financeira. Os métodos tradicionais de divulgação de bugs no OSS podem levar a resultados indesejáveis ​​para outros jogadores com dinheiro em jogo.

In Chamada para todos os principais desenvolvedores de sexta-feira, o desenvolvedor do Ethereum, Micah Zoltu, e o líder da equipe Geth, Peter Szilágyi, discordaram da emissão de uma lista de notificação para vulnerabilidades críticas. Zoltu afirmou que tal lista criaria condições desiguais para os projetos, enquanto Szilágyi disse que cada divulgação de bug cria um ponto fraco na infraestrutura do Ethereum. 

Por exemplo, divulgar o bug antecipadamente ao provedor de serviços Infura – que a maior parte das finanças descentralizadas (DeFi) usa para se conectar ao blockchain Ethereum – seria uma vantagem injusta contra seus concorrentes. Além disso, as consequências para o ecossistema mais amplo poderiam ser graves se informações privilegiadas da lista vazassem para partes adversárias.

Se tivesse a opção novamente, Szilágyi disse que faria a divulgação recente da mesma maneira – ou seja, mantendo o bug de consenso em segredo (embora ele tenha dito em um ponto durante a ligação que eles deveriam ter informado aos usuários que uma versão anterior do Geth mantinha um vulnerabilidade). Geth fez o mesmo para outras vulnerabilidades de consenso, disse ele.

“A divulgação é um tema complexo e a segurança do usuário é fundamental”, concluiu Prestwich.