Kerentanan yang baru ditemukan pada token GasToken, yang berjalan pada blockchain Ethereum, dapat memungkinkan peretas menarik dana dari dompet penyimpanan panas bursa, atau bahkan token palsu untuk mendapatkan keuntungan.
Menurut penelitian yang baru-baru ini diterbitkan, kerentanan ini terutama memengaruhi bursa yang belum menetapkan batas penarikan. Studi tersebut menjelaskan:
Skenario serangan paling primitif adalah Vasya memiliki penukar yang ingin diretas oleh Petya. Petya dapat meminta transfer dana dari dompetnya ke alamat kontrak yang dia kendalikan. Jika Vasya lalai menetapkan batas wajar pada ETH, dia akan membayar biaya transaksi dari hot wallet-nya. Setelah melakukan transaksi dalam jumlah yang cukup, Petya dapat mengosongkan dompet Vasya.
Jika penukar tidak menggunakan teknologi KYC, peretas dapat melewati batas penarikan. Penyerang yang lebih terampil bahkan dapat mengenakan “pajak” pada transaksi, dan membuat token mereka sendiri untuk mendapatkan keuntungan.
Khususnya, kerentanan ini hanya memengaruhi mereka yang memulai transaksi Ethereum, dan bukan mereka yang memprosesnya. Oleh karena itu, pertukaran mata uang kripto terdesentralisasi seperti ForkDelta dan penukar lain yang bekerja dengan kontrak pintar yang memproses transaksi yang dimulai oleh pengguna tidak akan terpengaruh oleh bug ini.
Saat ini tidak diketahui berapa banyak penukar yang terpengaruh. Menurut para peneliti yang menemukan kerentanan tersebut, mereka menghubungi setiap bursa yang berpotensi terkena dampak sebelum mempublikasikan informasi tersebut.
Bursa disarankan untuk menetapkan “batas bahan bakar yang wajar” selama penarikan. Para peneliti juga menyarankan platform yang berpotensi terkena dampak untuk meninjau log mereka, karena penyerang mungkin sudah menemukan kerentanan ini sejak lama.
Makalah ini mencatat bahwa blockchain lain, seperti EthereumClassic dan EOS, mungkin juga terpengaruh oleh bug ini.
Ini bukan kesalahan kritis pertama yang ditemukan tahun ini. Pada bulan Maret tahun ini, bug telah diperbaiki yang memungkinkan pengguna Coinbase mengkredit dirinya sendiri dengan Ethereum dalam jumlah tak terbatas.
Berdasarkan materi dari www.cryptoglobe.com
Baca juga
Kucing Crypto mengambil alih dunia
CryptoKitties adalah game blockchain baru tempat Anda dapat membeli, membiakkan, dan memperdagangkan kucing virtual dengan koin Ethereum. Proyek ini diluncurkan seminggu yang lalu oleh AxiomZen dan sekilas menyerupai versi blockchain dari kartu Pokemon terkenal. Selama beberapa hari terakhir, proyek ini mendapatkan popularitas yang luar biasa.
Bitfinex membayar $23,5 juta untuk transaksi $100.000
Pertukaran Crypto Bitfinex melakukan transaksi dengan rekor komisi tinggi pada blockchain Ethereum.
