Обнаружена уязвимость обменников, работающих на блокчейне Ethereum

K

Kelvin

Модератор
12 Ноя 2018
4,086
55
48
Недавно обнаруженная уязвимость токена GasToken, который работает на блокчейне Ethereum, может позволить хакерам выводить средства с биржевых кошельков горячего хранения, или даже подделывать токены для получения прибыли.

Согласно недавно опубликованному исследованию, эта уязвимость затрагивает главным образом те обменники, которые не установили лимит на снятие средств. В исследовании объясняется:

Самый примитивный сценарий атаки - у Васи есть обменник, который хочет взломать Петя. Петя может запросить перевод средств со своего кошелька на контрактный адрес, который он контролирует. Если Вася пренебрег установкой разумного лимита на ETH, он будет платить комиссию за транзакцию со своего горячего кошелька. Проведя достаточное количество транзакций, Петя может опустошить кошелек Васи.​
В случае, если обменник не использует технологию KYC, хакер может обойти лимит на снятие. Более умелый злоумышленник может даже ввести “налог” на транзакции, и создать собственный токен для получения прибыли.

Примечательно, что уязвимость задевает только тех, кто инициирует транзакции Ethereum, а не тех, кто их обрабатывает. Поэтому децентрализованные криптовалютные биржи вроде ForkDelta и другие обменники, работающие со смарт-контрактами, которые обрабатывают транзакции, инициированные пользователями не пострадают в результате использования бага.

На данный момент неизвестно - сколько обменников затронуто. По словам исследователей, которые обнаружили уязвимость, они связались с каждым потенциально затронутым обменником, прежде, чем публиковать информацию.

Биржам было рекомендовано установить “разумный лимит на газ” во время вывода средств. Исследователи также посоветовали потенциально затронутым платформам пересмотреть свои логи, так как злоумышленники могли обнаружить эту уязвимость давно.

В работе отмечено, что другие блокчейны, вроде EthereumClassic и EOS, также могут пострадать в результате бага.


Это не первая критическая ошибка, обнаруженная в этом году. В марте этого года была исправлена ошибка, позволяющая пользователям Coinbase начислять себе бесконечное число Ethereum.