Новые уязвимости Эфириума

В чём проявляется баг? Во время принятия транзакции получатель ETH может провести атаку для умышленного вредительства отправителю. Получатель инициирует случайные вычисления, вследствие которых происходит создание токенов GasToken.

По правилам Эфириума эти вычисления должен оплатить отправитель. Если у него не стоит ограничение на газ, он попросту израсходует весь баланс своего Эфириум-кошелька. В теории, мошенник даже может получить выгоду из всей этой операции, если задействует достаточное количество ресурсов для атаки.

Уязвимость также распространяется на ERC-20 и ERC-721 токены. Более наглядно механизм атаки вредительства описал сам Level K.

Представьте, что Элис владеет биржей, которой Боб хочет навредить. Боб может инициировать выводы на адрес смарт-контракта с помощью функции вычисления. Если Элис не установила лимит на газ, она заплатит комиссию за транзакции со своего горячего кошелька. Запрашивая огромное количество транзакций, Боб может полностью опустошить кошелёк Элис. Чтобы получить прибыль, Боб начнёт производство токенов GasToken, которые потом, теоретически, можно конвертировать в ETH.

Новые уязвимости Эфириума. Источник иллюстрации — Penn Memory Center. Фото.

Источник иллюстрации — Penn Memory Center

По словам Level K, обменники, которые могут стать целью мошенников, были уведомлены ещё 13 ноября. Разработчик постарался разослать предупреждения максимальному количеству крупнейших криптобирж.

ПОДПИСЫВАЙТЕСЬ НА НАШ КАНАЛ В ТЕЛЕГРАМЕ. ТУТ ЕЩЁ БОЛЬШЕ ИНТЕРЕСНЫХ НОВОСТЕЙ.