イーサリアム大型アップデートの懸念払拭へ：創設者ブテリン氏「コンスタンティノープル」の脆弱性を否定

ETH大型アップデート、開発者が示していた懸念をブリテン氏が否定: 共同創設者ヴィタリック・ブテリン氏は、15日の開発者会議で、コンスタンチノープルで実装予定の新機能に”潜在的な脆弱性”があるとの見解を否定した。今回のETH高騰を後押しした可能性もある。

2月末のアップデートに含まれる「CREAT2」、潜在的な脆弱性を開発者が懸念

イーサリアムの共同創設者ヴィタリック・ブテリン氏は、2月15日に開催されたコア開発者会議で、次期ハードフォーク「コンスタンチノープル」でリリースされる予定のスマートコントラクト作成機能「CREAT2」に、セキュリティ面で潜在的な脆弱性があるとの主張を却下した。

「CREAT2」はブテリン氏が提案した機能で、ブロックチェーン上にまだ存在しないコントラクトとのやり取りを可能にすることを目的としている。

今月27日に施行が予定されるイーサリアムの改善案である「EIP1014」に含まれる計画だが、スマートコントラクト発行後にアドレスが変更できるようプログラム可能なため、一部のイーサリアム開発者は悪用される懸念を示している。

サイバーセキュリティの独立系研究者であるRajeev Gopalakrishna氏は、「CREATE2」の関数を使用すると、以前は無害だったスマートコントラクトを「悪意のあるコントラクト」に置き換えられると指摘した。

この変更（CREAT2）は、今日のユーザーがスマートコントラクトのメリットとして認識している不変性を揺るがし、深刻な攻撃を受けるリスクをもたらすのではないか？

コンスタンティノース以降に作成されたスマートコントラクト自己破壊的な機能を備えているという点で、以前より信頼性に欠けるということではないか？

また、エンジニアであるJason Carver氏も、（CREATE2を使用して）「自己破壊型コントラクトを新しいバージョンに置き換えることで、潜在的な攻撃方法を導入できる恐れがある」と主張している。

「非決定性のinit（初期化）コードに問題がある」との見解

一方、「自己破壊機能自体がセキュリティに悪影響を及ぼすのではなく、非決定性のinit（初期化）コードが問題を引き起こす」との指摘もある。

このような指摘もある中、イーサリアムの開発者Jeff Coleman氏もコア開発者会議で、以下のように懸念を示した。

「CREATE2」で反直観的な事柄のひとつは、アドレスがinitコードへのコミットメントにすぎないため、理論的には再デプロイによってコントラクト・バイトコードを変更できる可能性がある。人々はinitコードが（スマートコントラクト）監査の一部であることを認識すべきだ。[中略]問題は、非決定性のinitコードである。

また、ブロックチェーン開発者Noel Maersk氏は、「CREATE2対応のブロックチェーンで発行されたスマートコントラクトに非決定性のinitコードを追加すると、潜在的に攻撃ベクトルを導入する可能性がある」と主張している。

ブテリン氏「将来的に必要な機能」

しかしブテリン氏や他のコア開発者は、「CREAT2」の脆弱性に対する懸念を払拭し、「CREAT2」は将来的に不可欠な機能との見解を示した。

自己破壊的なオペレーションを伴わず、コントラクトを存在状態から非存在状態に移行させる方法は、（ストレージの）貸出と削除を考慮し、将来のために覚えておくべきことのひとつだ[…]今後数週間以内に把握する必要があるといったものではないが、ETH 2.0シャーディングをVM（仮想マシン）スペックにいち早く近づけるために、覚えておくと有益である。

大型アップグレードの第3弾となる「コンスタンチノープル」は、本来1月に実施が予定されていたが、実装予定だった「EIP 1283」のコードに深刻なセキュリティー上の脆弱性があることが発覚し、延期を余儀なくされた。

開発チームは、問題のあるコードを修正する代わりに手順を踏んで安全に「EIP 1283」をテストネットから削除し、残り4つのEIPからなるハードフォークを実施することで合意に至った。

「CREAT2」は、今回のアップデートをめぐり指摘されている懸念のひとつだ。またイーサリアムのコア開発者グループはつい先日、特定用途向け集積回路（ASIC）対策のPoWアルゴリズム「ProgPoW」の実装についての判断を、第三者による監査後に延期する意向を発表。内部からはこの決断に不満を唱える声も上がっているものの、十分なデータ確保を優先するなど慎重な姿勢を見せている。

ブテリン氏が、これらの懸念や問題への取り組みを「イーサリアムが成長し続ける上で不可欠な長期的ロードマップ」と捉えている点を考慮すると、「CREAT2」で指摘されている脆弱点も、試行錯誤の末にクリアすべき課題とポジティブに受け止める事ができる。

「コンスタンチノープル」の新たな実施日は、2月27日前後に予定されている。