Раскрыты детали уязвимости, позволяющей опустошать кошельки криптовалютных бирж

Поставщик dApp-решений Level K раскрыл подробности уязвимости в сети Ethereum, о которой сообщил еще 9 ноября.

The disclosure is now public: https://t.co/xVwsG9EBET We appreciate the patience while affected parties were notified.

— Level K (@levelk_io) 21 ноября 2018 г.

Разработчики рассказали об атаке под названием «вектор вредительства», которая эксплуатировала возможность осуществления случайных вычислений адресом, на который отправлялись монеты Ethereum.

Атаку можно было капитализировать посредством минтинга токенов GasToken, привязанных к стоимости газа в сети Ethereum, за счет случайных вычислений при получении ETH на свой адрес, а инициатор транзакции был бы вынужден оплачивать эти действия. В результате под угрозой оказались биржи, не внедрившие такие меры предосторожности, как лимит на газ.

Одновременно с этим, уязвимость касалась не только Ethereum, но и токенов стандарта ERC-20 и ERC-721. Так, потенциальный злоумышленник мог не только лишить “горячий кошелек” какой-то биржи существенных средств путем сжигания газа, но и обогатиться.

На данный момент все торговые платформы, получившие уведомление от Level K, внедрили соответствующие меры безопасности.

Напомним, 9 ноября также стало известно об уязвимости в Python-имплементации виртуальной машины Ethereum.

Подписывайтесь на новости Forklog в Facebook!