Kerentanan yang baru ditemukan pada token GasToken, yang berjalan pada blockchain Ethereum, dapat memungkinkan peretas menarik dana dari dompet penyimpanan panas bursa, atau bahkan token palsu untuk mendapatkan keuntungan.
Menurut penelitian yang baru-baru ini diterbitkan, kerentanan ini terutama memengaruhi bursa yang belum menetapkan batas penarikan. Studi tersebut menjelaskan:
Skenario serangan paling primitif adalah Vasya memiliki penukar yang ingin diretas oleh Petya. Petya dapat meminta transfer dana dari dompetnya ke alamat kontrak yang dia kendalikan. Jika Vasya lalai menetapkan batas wajar pada ETH, dia akan membayar biaya transaksi dari hot wallet-nya. Setelah melakukan transaksi dalam jumlah yang cukup, Petya dapat mengosongkan dompet Vasya.
Jika penukar tidak menggunakan teknologi KYC, peretas dapat melewati batas penarikan. Penyerang yang lebih terampil bahkan dapat mengenakan “pajak” pada transaksi, dan membuat token mereka sendiri untuk mendapatkan keuntungan.
Khususnya, kerentanan ini hanya memengaruhi mereka yang memulai transaksi Ethereum, dan bukan mereka yang memprosesnya. Oleh karena itu, pertukaran mata uang kripto terdesentralisasi seperti ForkDelta dan penukar lain yang bekerja dengan kontrak pintar yang memproses transaksi yang dimulai oleh pengguna tidak akan terpengaruh oleh bug ini.
Saat ini tidak diketahui berapa banyak penukar yang terpengaruh. Menurut para peneliti yang menemukan kerentanan tersebut, mereka menghubungi setiap bursa yang berpotensi terkena dampak sebelum mempublikasikan informasi tersebut.
Bursa disarankan untuk menetapkan “batas bahan bakar yang wajar” selama penarikan. Para peneliti juga menyarankan platform yang berpotensi terkena dampak untuk meninjau log mereka, karena penyerang mungkin sudah menemukan kerentanan ini sejak lama.
Makalah ini mencatat bahwa blockchain lain, seperti EthereumClassic dan EOS, mungkin juga terpengaruh oleh bug ini.
Ini bukan kesalahan kritis pertama yang ditemukan tahun ini. Pada bulan Maret tahun ini, bug telah diperbaiki yang memungkinkan pengguna Coinbase mengkredit dirinya sendiri dengan Ethereum dalam jumlah tak terbatas.
Berdasarkan materi dari www.cryptoglobe.com
Baca juga
Kapak perang akan dikubur seharga 150 ribu dolar
Pada bulan Juli 2016, ketika peretasan sistem mempertanyakan sifat sebenarnya dari desentralisasi blockchain, bagian dari yayasan Ethereum (ETH) memisahkan diri dan mendirikan mata uang kriptonya sendiri, Ethereum Classic (ETC). Yang cukup aneh adalah Ethereum Foundation kini telah mendonasikan $150,000 dalam bentuk ETC ke Ethereum Classic Foundation.
Pakar Teknis Memprediksi Pertumbuhan Ethereum
Harga Ethereum akan meningkat secara signifikan ketika kontrak pintar dapat menerima data eksternal.
