Iniiwasan ng Exchange Bug Discovery ang Pagnanakaw ng Ethereum Token

Ang isang bug na natuklasan noong nakaraang buwan ay maaaring mawalan ng laman sa mga exchange account na may hawak na mga digital na token na ginamit upang paganahin ang ethereum-based na ipinamamahaging application Golem.

Gayunpaman, dahil sa likas na katangian ng bug, maaari rin itong gamitin sa iba pang Ethereum token na nakalista sa exchange. Iyon ay dahil ginamit nito ang pamantayang ERC-20 ng platform, isang tampok na nanalo ng mga tagapagtaguyod sa sektor ng palitan dahil sa kakayahang bawasan ang oras na kinakailangan ng mga palitan upang magdagdag ng mga bagong barya.

Gayunpaman, natagpuan ng isang tagasuporta ng Golem at isang may hawak ng GNT ang bug noong ika-18 ng Marso at iniulat ito sa koponan ng developer bago ito magamit sa malisyosong paraan.

Ang problemang nalaman ay nagmumula sa kung paano inihahanda ng mga palitan ang data para sa mga transaksyon at kung paano ine-encode at decode ng Solidity (ang Ethereum smart contracting language) ang data ng transaksyon, ayon kay Golem Factory software engineer Pawel Bylica, na naglathala ng ulat sa isyu.

Ayon sa kanyang pagtatasa, ang serbisyong naghanda ng data para sa mga paglilipat ng token ay nagpapalagay ng 20-byte na mahabang address na input, ngunit T talaga nagsuri upang matiyak na ang input ay ang tamang haba.

Bilang resulta, ang isang mas maikling haba ng address ay naging sanhi ng paglipat ng halaga ng transaksyon sa kaliwa, at sa gayon ay tumataas ang halaga nito.

Ang gumagamit ng Golem ay nag-ulat ng isang "kakaibang" transaksyon na nakakuha ng napakaraming halaga na maaaring nawalan ito ng laman sa buong exchange GNT account, ayon sa post ni Bylica. Sa katunayan, ang dahilan lamang niya na T ito nangyari, aniya, ay napakalaki ng bilang na imposibleng makumpleto ito ng palitan.

Ang bug ay naayos na ngayon at ang koponan ni Bylica ay nagpaalam sa iba pang mga palitan ng potensyal na kahinaan.

'Nagulat at natakot'

Gayunpaman, ang mga pangamba ay pinukaw pa rin ng bug, dahil maaari itong maging malawak na naaangkop sa iba pang mga palitan gamit ang mga token ng ERC-20.

Bagama't hindi pa napatunayan ng koponan ni Bylica ang pagkakaroon ng kahinaan na ito sa iba pang mga palitan, binanggit niya ang mga potensyal na downsides ay malubha.

"Kami ay nagulat at BIT natakot nang mapagtanto ang mga potensyal na kahihinatnan ng isang tao na sinasamantala ang bug na iyon para sa maraming mga token sa maraming palitan," isinulat ni Bylica.

Sa kabutihang palad, ang ilang mga iminungkahing pag-aayos ay medyo simple upang ipatupad.

"Ang pagsuri lamang sa haba ng isang address na ibinigay ng isang user ay sinisiguro [ang mga palitan] mula sa inilarawang pag-atake," isinulat ni Bylica.

Mga reaksyon sa Reddit

Ang reaksyon sa Reddit ay mula sa banayad na pagkagalit hanggang sa mga debate sa pananagutan ng mga palitan na magbigay ng pinahusay na seguridad.

"Ito ay pangunahing bagay," isinulat ng user na BullBearBabyWhale. "Namangha ako muli kung gaano kaseryoso ang negosyo sa espasyong ito (na tungkol sa seguridad) ay hindi ito sineseryoso."

Para sa mga nag-iimbak ng anumang mga token na nakabatay sa ethereum, kabilang ang mga token ng ERC-20, sa isang exchange, inirerekomenda ng user ng Reddit na si 1up8192 na makipag-ugnayan sa mga service provider upang makita kung sinuri nila ang kahinaan.

"Tanungin ang iyong palitan kung alam nila ang tungkol sa posibilidad ng pag-iniksyon at kung nalutas nila ang problema," isinulat nila.

Code ng computer larawan sa pamamagitan ng Shutterstock