Мы снова сталкиваемся с большими проблемами у EOS: популярная криптовалюта, предположительно, страдает от серьезной уязвимости, которая позволяет красть сетевые ресурсы непосредственно из учетных записей пользователей - без какой-либо авторизации. Об этом пишет Thenextweb.
Команда разработчиков EOS уже занялась устранением недостатков системы безопасности - баг позволяет злоумышленникам вставить код, чтобы обмануть сеть, распределяя RAM, при совершении транзакции.
Команда EOSEssentials описывает проблему:
Злоумышленник может установить код на свою учетную запись, который позволит ему вставлять строки [table] в Имя другой учетной записи, отправляя им токены. Это позволяет украсть оперативную память, вставляя большое количество мусора в строки [table], когда приложение / пользователи отправляют ему токены.
Пока рекомендуется следующее: чтобы защитить себя от кражи оперативной памяти, взаимодействуя с сомнительными учетными записями, пользователи должны использовать прокси-сервер. Это временное решение.
Экосистема EOS рассматривает RAM как конечный ресурс, который должен быть распределен среди программистов. Чем больше dApp, тем больше RAM требуется для его плавного запуска.
Одним из разработчиков, работающих над исправлением бага, является Сезар Родригес, который пояснил, что” украденные " ресурсы заблокированы. Так как эксплойт не позволяет изъять ресурсы у владельца, они не могут быть проданы или переданы. Но и вернуть его тоже нельзя. В своем отчете об ошибке он отметил:
Ни одно приложение не должно иметь права забирать ресурсы пользователя и не позволять вернуть их. В долгосрочной перспективе это приведет к тысячам учетных записей, хранящих мусор в RAM, RAM - которое могло бы быть полезным для приложений.
У некоторых шиткоинов значение стоимости RAM может превысить стоимость самого токена.
Важно уточнить, что для того, чтобы быть затронутым эти багом, необходимо взаимодействовать с учетной записью EOS, с загруженным вредоносным контрактом.
” Каждая учетная запись (кошелек) может иметь код, поэтому каждая транзакция может блокировать вашу оперативную память", - сказал Родригес. “Чтобы было ясно: вам нужно [отправить] транзакцию на вредоносный аккаунт”.
Родригес отметил, что ошибка была обнаружена только после того, как как беттинговое приложение на блокчейне EOS перестало функционировать. По мере того, как оно выплачивало выигрыши злоумышленнику, всё больше и больше ресурсов RAM блокировалось.
Самое плохое заключается в том, что текущее исправление довольно сложно для рядовых пользователей. На данный момент пользователи должны уметь сами редактировать код, чтобы оставаться в безопасности, по крайней мере, до тех пор, пока не будет реализовано официальное исправление.
В любом случае, для EOS все это выглядит не очень хорошо. Эта неудача знаменует собой последний в ряду недостатков безопасности, недавно обнаруженных в этой криптовалюте, которая уже выплатила около полумиллиона долларов за баги в 2018 году.
Telegram доступ к курсам и событиям криптовалют тут.
Больше новостей, гайды, обзоры и криптопедия тут.