Kerentanan yang baru ditemukan pada token GasToken, yang berjalan pada blockchain Ethereum, dapat memungkinkan peretas menarik dana dari dompet penyimpanan panas bursa, atau bahkan token palsu untuk mendapatkan keuntungan.
Menurut penelitian yang baru-baru ini diterbitkan, kerentanan ini terutama memengaruhi bursa yang belum menetapkan batas penarikan. Studi tersebut menjelaskan:
Skenario serangan paling primitif adalah Vasya memiliki penukar yang ingin diretas oleh Petya. Petya dapat meminta transfer dana dari dompetnya ke alamat kontrak yang dia kendalikan. Jika Vasya lalai menetapkan batas wajar pada ETH, dia akan membayar biaya transaksi dari hot wallet-nya. Setelah melakukan transaksi dalam jumlah yang cukup, Petya dapat mengosongkan dompet Vasya.
Jika penukar tidak menggunakan teknologi KYC, peretas dapat melewati batas penarikan. Penyerang yang lebih terampil bahkan dapat mengenakan “pajak” pada transaksi, dan membuat token mereka sendiri untuk mendapatkan keuntungan.
Khususnya, kerentanan ini hanya memengaruhi mereka yang memulai transaksi Ethereum, dan bukan mereka yang memprosesnya. Oleh karena itu, pertukaran mata uang kripto terdesentralisasi seperti ForkDelta dan penukar lain yang bekerja dengan kontrak pintar yang memproses transaksi yang dimulai oleh pengguna tidak akan terpengaruh oleh bug ini.
Saat ini tidak diketahui berapa banyak penukar yang terpengaruh. Menurut para peneliti yang menemukan kerentanan tersebut, mereka menghubungi setiap bursa yang berpotensi terkena dampak sebelum mempublikasikan informasi tersebut.
Bursa disarankan untuk menetapkan “batas bahan bakar yang wajar” selama penarikan. Para peneliti juga menyarankan platform yang berpotensi terkena dampak untuk meninjau log mereka, karena penyerang mungkin sudah menemukan kerentanan ini sejak lama.
Makalah ini mencatat bahwa blockchain lain, seperti EthereumClassic dan EOS, mungkin juga terpengaruh oleh bug ini.
Ini bukan kesalahan kritis pertama yang ditemukan tahun ini. Pada bulan Maret tahun ini, bug telah diperbaiki yang memungkinkan pengguna Coinbase mengkredit dirinya sendiri dengan Ethereum dalam jumlah tak terbatas.
Berdasarkan materi dari www.cryptoglobe.com
Baca juga
Ikhtisar pasar pasangan mata uang kripto utama untuk minggu ini (dari 06/08/2018 hingga 12/08/2018)
Dalam ulasan hari ini, seperti biasa, kami merangkum hasil minggu lalu dan menganalisis dinamika harga secara keseluruhan
Buterin berharap dana Ethereum yang baru tidak mengecewakan harapannya
Pendukung paling setia Ethereum akan bergabung untuk menciptakan dana yang akan membantu meningkatkan kinerja berbagai proyek di blockchain terbesar kedua di dunia.
