О нас
ФФ - Главный криптодайджест! Все самые интересные и важные события сразу на русском.
Платформа Trader trends (tt.ff.ru) – сервис решений для трейдеров и держателей криптоактивов. Подключайся и следи за портфелями профессиональных трейдеров.
Разработчик смарт-контрактов и dApp Ethereum, Level K, выявил уязвимость в рамках сети Ethereum, которая может позволить мошенникам отработать большое количество токена Gas при получении ETH.
В сообщении, опубликованном 21 ноября, говорится, что многие биржи уже заметили угрозу и исправили программное обеспечение.
Потенциальная угроза безопасности токена Gas
Уязвимость возникает, когда ETH отправляют на адрес, который затем может выполнять произвольные вычисления, за которые платит инициатор транзакции, что сопряжено с риском «захвата» – мошеннического действия, призванного нанести ущерб пользователям сети. В теории злоумышленник может заставить инициатора транзакции, например, биржевую плату, выплатить произвольную сумму вычислений, если на бирже нет лимита Gas.
Приобретая ETH, и таким образом добывая много токенов Gas, мошенник может, по крайней мере, теоретически, получить прибыль благодаря такой атаке.
Более того, под угрозой находится не только ETH, но также и токены на основе Ethereum, созданные по стандартам ERC-721 и ERC-20. В ходе выполнения контрактных договоров для осуществления переводов, биржи, которые не устанавливают лимит Gas для транзакций с этими токенами, могут в конечном итоге заплатить за огромное количество вычислений.
Выдержка из материала, опубликованного Level K, объясняющая угрозу с помощью гипотетического примера, гласит следующее:
«К примеру, Алиса запускает биржу, работе которой Боб хочет навредить. Боб может начать вывод средств на адрес контракта, который он контролирует, с помощью резервной функции, требующей большого количества вычислений. Если Алиса не установила разумный лимит газа, то ей придется платить транзакционные сборы из собственного кошелька. С большим количеством транзакций Боб может заставить Алису потратить все средства. Если Алиса не сможет обеспечить соблюдение политики «Знай своего клиента» (KYC), Боб создаст множество учетных записей, чтобы обойти ограничения на снятие средств с одного счета. Кроме того, если Боб хочет получить прибыль, он может получить GasToken с помощью резервной функции, и зарабатывать деньги, пока Алиса будет терять свои средства»
По информации Level K, те биржи, которой угрожала эта уязвимость, были уведомлены в частном порядке 13 ноября, и поскольку невозможно было определить, у каких бирж была защита, а у каких нет, это уведомление было отправлено как можно большему количеству бирж, все из которых успели внедрить исправление для устранения проблемы.
Читайте также: В Сингапуре началось первое судебное разбирательство по биржевой торговле биткоинами
