Обменник

Ошибка, обнаруженная в прошлом месяце, может потенциально опустошить обменные счета, содержащие цифровые токены, используемые для питания распределенного приложения на основе ethereum Golem.

Однако, из-за характера ошибки, он также мог использоваться на других токенах эфирума, перечисленных на бирже. Это связано с тем, что он использовал стандарт ERC-20 на платформе, который выиграл защитников в секторе обмена из-за его способности сократить время, необходимое для обмена новыми монетами.

Однако сторонник Golem и владелец GNT обнаружили ошибку 18 марта и сообщили об этом команде разработчиков, прежде чем ее можно было использовать злонамеренно.

Проблема, которая появилась на свет, связана с тем, как обмены готовят данные к транзакциям и как Solidity (английский язык для использования на английском языке) кодирует и декодирует данные транзакций, согласно разработчику программного обеспечения Golem Factory Павелю Билике, который опубликовал отчет по этому вопросу.

Согласно его оценке, служба, которая подготовила данные для передачи токенов, предполагает 20-байтовый адресный ввод, но на самом деле не проверял, чтобы вход был правильной длины.

В результате более короткая длина адреса привела к смещению суммы транзакции влево, тем самым увеличивая ее значение.

Пользователь Golem сообщил о «странной» транзакции, которая приобрела столь большую ценность, что, возможно, опустошала всю учетную запись GNT Exchange, сообщает Bylica. На самом деле, он только рассуждал, что этого не произошло, сказал он, – это то, что число было настолько велико, что обмен на завершение не удалось.

Ошибка теперь исправлена, и команда Bylica уведомила другие обмены потенциальной уязвимости.

«Потрясенный и испуганный»

Тем не менее, опасения по-прежнему были вызваны ошибкой, поскольку она могла быть широко применима к другим биржам с использованием токенов ERC-20.

Хотя команда Bylica не проверила существование этой уязвимости на других биржах, он упомянул, что потенциальные недостатки были серьезными.

«Мы были в шоке и немного боялись понять потенциальные последствия того, что кто-то воспользовался этой ошибкой для нескольких токенов на нескольких биржах», – пишет Билика.

К счастью, некоторые предлагаемые исправления относительно просты в реализации.

«Просто проверка длины адреса, предоставленного пользователем, защищает [обмены] от описанной атаки», – пишет Bylica.

реакции Reddit

Реакция на Reddit колебалась от мягкого возмущения до дебатов об ответственности бирж за обеспечение повышенной безопасности.

«Это основной материал», – написал пользователь BullBearBabyWhale. «Я снова удивлен, как серьезный бизнес в этом пространстве (что касается безопасности) не воспринимает это всерьез».

Для тех, кто хранит маркеры на основе ethereum, включая токены ERC-20, на обмене, пользователь Reddit 1up8192 рекомендует обратиться к поставщикам услуг, чтобы проверить, не проверили ли они уязвимость.

«Спросите об обмене, знают ли они о возможности инъекции и если они решают проблему», – писали они.

Компьютерный код изображение через Shutterstock

Лидер в новостях о блочной цепочке CoinDesk является независимым медиа-представителем, который стремится к самым высоким журналистским стандартам и соблюдает строгий набор редакционных политик , У вас есть новости или рассказчик для отправки нашим журналистам? Свяжитесь с нами по адресу [Электронная почта защищена] ,

ОСТАВЬТЕ ОТВЕТ

Please enter your comment!
Please enter your name here