Недавно обнаруженная уязвимость токена GasToken, который работает на блокчейне Ethereum, может позволить хакерам выводить средства с биржевых кошельков горячего хранения, или даже подделывать токены для получения прибыли.
Согласно недавно опубликованному исследованию, эта уязвимость затрагивает главным образом те обменники, которые не установили лимит на снятие средств. В исследовании объясняется:
Самый примитивный сценарий атаки - у Васи есть обменник, который хочет взломать Петя. Петя может запросить перевод средств со своего кошелька на контрактный адрес, который он контролирует. Если Вася пренебрег установкой разумного лимита на ETH, он будет платить комиссию за транзакцию со своего горячего кошелька. Проведя достаточное количество транзакций, Петя может опустошить кошелек Васи.
В случае, если обменник не использует технологию KYC, хакер может обойти лимит на снятие. Более умелый злоумышленник может даже ввести “налог” на транзакции, и создать собственный токен для получения прибыли.
Примечательно, что уязвимость задевает только тех, кто инициирует транзакции Ethereum, а не тех, кто их обрабатывает. Поэтому децентрализованные криптовалютные биржи вроде ForkDelta и другие обменники, работающие со смарт-контрактами, которые обрабатывают транзакции, инициированные пользователями не пострадают в результате использования бага.
На данный момент неизвестно - сколько обменников затронуто. По словам исследователей, которые обнаружили уязвимость, они связались с каждым потенциально затронутым обменником, прежде, чем публиковать информацию.
Биржам было рекомендовано установить “разумный лимит на газ” во время вывода средств. Исследователи также посоветовали потенциально затронутым платформам пересмотреть свои логи, так как злоумышленники могли обнаружить эту уязвимость давно.
В работе отмечено, что другие блокчейны, вроде EthereumClassic и EOS, также могут пострадать в результате бага.
Это не первая критическая ошибка, обнаруженная в этом году. В марте этого года была исправлена ошибка, позволяющая пользователям Coinbase начислять себе бесконечное число Ethereum.
По материалам www.cryptoglobe.com
Читайте также
За сутки с бирж вывели рекордное количество ETH
За 24 часа клиенты централизованных бирж вывели на личные кошельки около $1.2 миллиарда в ETH. В прошлый раз, когда такое происходило, цена ETH начинала параболический рост.
BTC.com запускает новый сервис для майнеров Ethereum
BTC.com - крупный оператор майнинговых пулов и поставщик криптовалютных кошельков - расширяет список своих услуг. Сотрудники веб-сайта сообщили о том, что они добавляют услугу обозревателя блоков (block explorer) Ethereum.