Новая уязвимость в смарт-контракте Эфириума позволяет опустошать чужие кошельки

By | 23 ноября, 2018

Разработчик под ником Level K заявил о существовании уязвимости Эфириума, которая позволяет мошенникам производить огромное количество GasToken при получении ETH. Напомним, GasToken — это смарт-контракт, который позволяет токенизировать газ. Другими словами, благодаря этому усовершенствованию пользователь может накопить дешёвый газ и израсходовать его по мере повышения цены.

Новые уязвимости Эфириума

В чём проявляется баг? Во время принятия транзакции получатель ETH может провести атаку для умышленного вредительства отправителю. Получатель инициирует случайные вычисления, вследствие которых происходит создание токенов GasToken.

По правилам Эфириума эти вычисления должен оплатить отправитель. Если у него не стоит ограничение на газ, он попросту израсходует весь баланс своего Эфириум-кошелька. В теории, мошенник даже может получить выгоду из всей этой операции, если задействует достаточное количество ресурсов для атаки.

Уязвимость также распространяется на ERC-20 и ERC-721 токены. Более наглядно механизм атаки вредительства описал сам Level K.

Представьте, что Элис владеет биржей, которой Боб хочет навредить. Боб может инициировать выводы на адрес смарт-контракта с помощью функции вычисления. Если Элис не установила лимит на газ, она заплатит комиссию за транзакции со своего горячего кошелька. Запрашивая огромное количество транзакций, Боб может полностью опустошить кошелёк Элис. Чтобы получить прибыль, Боб начнёт производство токенов GasToken, которые потом, теоретически, можно конвертировать в ETH.

Источник иллюстрации — Penn Memory Center

По словам Level K, обменники, которые могут стать целью мошенников, были уведомлены ещё 13 ноября. Разработчик постарался разослать предупреждения максимальному количеству крупнейших криптобирж.

ПОДПИСЫВАЙТЕСЬ НА НАШ КАНАЛ В ТЕЛЕГРАМЕ. ТУТ ЕЩЁ БОЛЬШЕ ИНТЕРЕСНЫХ НОВОСТЕЙ.

Два Биткоина
Автор: Дмитрий Кузюк

Поделиться ссылкой

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *