Недавно обнаруженная уязвимость токена GasToken, который работает на блокчейне Ethereum, может позволить хакерам выводить средства с биржевых кошельков горячего хранения, или даже подделывать токены для получения прибыли.
Согласно недавно опубликованному исследованию, эта уязвимость затрагивает главным образом те обменники, которые не установили лимит на снятие средств. В исследовании объясняется:
Самый примитивный сценарий атаки - у Васи есть обменник, который хочет взломать Петя. Петя может запросить перевод средств со своего кошелька на контрактный адрес, который он контролирует. Если Вася пренебрег установкой разумного лимита на ETH, он будет платить комиссию за транзакцию со своего горячего кошелька. Проведя достаточное количество транзакций, Петя может опустошить кошелек Васи.
В случае, если обменник не использует технологию KYC, хакер может обойти лимит на снятие. Более умелый злоумышленник может даже ввести “налог” на транзакции, и создать собственный токен для получения прибыли.
Примечательно, что уязвимость задевает только тех, кто инициирует транзакции Ethereum, а не тех, кто их обрабатывает. Поэтому децентрализованные криптовалютные биржи вроде ForkDelta и другие обменники, работающие со смарт-контрактами, которые обрабатывают транзакции, инициированные пользователями не пострадают в результате использования бага.
На данный момент неизвестно - сколько обменников затронуто. По словам исследователей, которые обнаружили уязвимость, они связались с каждым потенциально затронутым обменником, прежде, чем публиковать информацию.
Биржам было рекомендовано установить “разумный лимит на газ” во время вывода средств. Исследователи также посоветовали потенциально затронутым платформам пересмотреть свои логи, так как злоумышленники могли обнаружить эту уязвимость давно.
В работе отмечено, что другие блокчейны, вроде EthereumClassic и EOS, также могут пострадать в результате бага.
Это не первая критическая ошибка, обнаруженная в этом году. В марте этого года была исправлена ошибка, позволяющая пользователям Coinbase начислять себе бесконечное число Ethereum.
По материалам www.cryptoglobe.com
Читайте также
Ethereum ускоряет переход на PoS на фоне восстания майнеров
Разработчики Ethereum планируют ускорить переход на Proof-of-Stake на фоне угроз майнеров устроить забастовку.
Джозеф Любин: Экосистема Ethereum продолжает расти
Один из наибольших блокчейн протоколов для смарт- контрактов в мире, Ethereum, продолжает расти быстрыми темпами. Три основных продукта Ethereum - это Infura, Truffle и Metamask. Они являются костяком инфраструктуры цифрового актива. Соучредитель Ethereum, Джозеф Любин, раскрыл некоторые аспекты этого вопроса.