Разработчик смарт-контрактов под ником «Level K» выявил наличие уязвимости во фреймворке Ethereum, которая позволяет получить большое количество GasToken при транзакции в сети Ethereum. В блоге, опубликованном 21 ноября, компания обнаружила, что уязвимость имеет высокий уровень риска, и внесла исправления программного обеспечения, чтобы исключить угрозу.
Потенциальная угроза безопасности GasToken
Уязвимость возникает, когда ETH отправляется на адрес, который затем может выполнять произвольные вычисления. Теоретически, злоумышленник мог бы обмануть создателя транзакции, используя произвольное количество вычислений, если биржа не имеет защиты, такой как ограничение на Gas.
Задавая огромные количества GasToken при получении ETH, было бы возможно, по крайней мере, теоретически, чтобы такая атака стала прибыльной для злоумышленника.
Более того, риск не ограничивается ETH, но также включает все токены, созданные на основе Ethereum, в том числе выпущенные по стандартам ERC-721 и ERC-20. В ходе выполнения смарт-контрактов для осуществления переводов биржи, которые не устанавливают предел на использование газа для транзакций с этими токенами, могут в конечном итоге оплачивать огромные суммы вычислений и страдать от подобной участи.
Выдержка из материала, опубликованного Level K, объясняющего угрозу с использованием гипотетического примера, гласит:
В простейшем сценарии эксплойтов Алиса управляет биржей, которому Боб хочет нанести вред. Боб может инициировать снятие на адрес контракта, который он контролирует, с помощью вычислительно-интенсивной резервной функции. Если Алиса пренебрегла устанавкой ограничения на разумный предел газа, она будет платить комиссию за транзакции из своего горячего кошелька. Учитывая достаточное количество транзакций, Боб может истощить средства Алисы. Если Алисе не удается обеспечить соблюдение правил «Знай своего клиента» (KYC), Боб может создавать многочисленные учетные записи, чтобы обойти ограничения на снятие c одной учетной записи. Кроме того, если Боб также хочет получить прибыль, он может включить GasToken в своей резервной функции и заработать деньги, в то время как кошелек Алисы будет истощаться.
Согласно Level K, биржи, потенциально затронутые этой уязвимостью, были уведомлены конфиденциально 13 ноября, и поскольку невозможно было точно сказать, какие из них не были защищены, это уведомление было отправлено на максимально возможное количество бирж, которые могут использовать реализованные исправления, чтобы устранить проблему.
