Kerentanan yang baru ditemukan pada token GasToken, yang berjalan pada blockchain Ethereum, dapat memungkinkan peretas menarik dana dari dompet penyimpanan panas bursa, atau bahkan token palsu untuk mendapatkan keuntungan.
Menurut penelitian yang baru-baru ini diterbitkan, kerentanan ini terutama memengaruhi bursa yang belum menetapkan batas penarikan. Studi tersebut menjelaskan:
Skenario serangan paling primitif adalah Vasya memiliki penukar yang ingin diretas oleh Petya. Petya dapat meminta transfer dana dari dompetnya ke alamat kontrak yang dia kendalikan. Jika Vasya lalai menetapkan batas wajar pada ETH, dia akan membayar biaya transaksi dari hot wallet-nya. Setelah melakukan transaksi dalam jumlah yang cukup, Petya dapat mengosongkan dompet Vasya.
Jika penukar tidak menggunakan teknologi KYC, peretas dapat melewati batas penarikan. Penyerang yang lebih terampil bahkan dapat mengenakan “pajak” pada transaksi, dan membuat token mereka sendiri untuk mendapatkan keuntungan.
Khususnya, kerentanan ini hanya memengaruhi mereka yang memulai transaksi Ethereum, dan bukan mereka yang memprosesnya. Oleh karena itu, pertukaran mata uang kripto terdesentralisasi seperti ForkDelta dan penukar lain yang bekerja dengan kontrak pintar yang memproses transaksi yang dimulai oleh pengguna tidak akan terpengaruh oleh bug ini.
Saat ini tidak diketahui berapa banyak penukar yang terpengaruh. Menurut para peneliti yang menemukan kerentanan tersebut, mereka menghubungi setiap bursa yang berpotensi terkena dampak sebelum mempublikasikan informasi tersebut.
Bursa disarankan untuk menetapkan “batas bahan bakar yang wajar” selama penarikan. Para peneliti juga menyarankan platform yang berpotensi terkena dampak untuk meninjau log mereka, karena penyerang mungkin sudah menemukan kerentanan ini sejak lama.
Makalah ini mencatat bahwa blockchain lain, seperti EthereumClassic dan EOS, mungkin juga terpengaruh oleh bug ini.
Ini bukan kesalahan kritis pertama yang ditemukan tahun ini. Pada bulan Maret tahun ini, bug telah diperbaiki yang memungkinkan pengguna Coinbase mengkredit dirinya sendiri dengan Ethereum dalam jumlah tak terbatas.
Berdasarkan materi dari www.cryptoglobe.com
Baca juga
Layanan Robinhood Crypto menambahkan Ethereum Classic
Aplikasi perdagangan AS Robinhood telah mengumumkan penambahan Ethereum Classic (ETC). ETC sekarang tersedia untuk berinvestasi bersama dengan investasi saham tradisional.
Apa itu Ethertank?
Ethertanks adalah permainan browser di mana pengguna dapat membeli tank dengan Ethereum secara real time. Kedengarannya agak primitif, namun konsep Ethertanks terlihat jauh lebih menarik dibandingkan Cryptokitties. Pengembang menyebut tank game sebagai investasi
