À découvrir d'un bug sur la plateforme d'échange permet d'éviter le vol de jetons Ethereum

Un bug découvert le mois dernier aurait pu potentiellement vider les comptes d'échange contenant des jetons numériques utilisés pour alimenter l'application distribuée Golem basée sur Ethereum.

Cependant, en raison de la nature du bug, il aurait également pu être utilisé sur d'autres jetons Ethereum listés sur la plateforme. En effet, il utilisait la norme ERC-20 de la plateforme, une fonctionnalité qui a gagné des adeptes dans le secteur des plateformes d'échange grâce à sa capacité à réduire le temps d'ajout de nouvelles cryptomonnaies.

Cependant, un partisan de Golem et un détenteur de GNT ont découvert le bug le 18 mars et l'ont signalé à l'équipe de développeurs avant qu'il ne puisse être utilisé de manière malveillante.

Le problème qui est apparu provient de la manière dont les échanges préparent les données pour les transactions et de la manière dont Solidity (le langage de contrat intelligent Ethereum ) code et décode les données de transaction, selon Pawel Bylica, ingénieur logiciel de Golem Factory. publié un rapportsur la question.

Selon son évaluation, le service qui a préparé les données pour les transferts de jetons suppose une entrée d'adresse de 20 octets de long, mais n'a T réellement vérifié que l'entrée avait la bonne longueur.

En conséquence, une longueur d’adresse plus courte a entraîné un déplacement du montant de la transaction vers la gauche, augmentant ainsi sa valeur.

L'utilisateur de Golem a signalé une transaction « étrange » dont la valeur a été telle qu'elle aurait pu vider entièrement le compte GNT de la plateforme d'échange, selon le message de Bylica. En fait, la seule raison pour laquelle cela n'a T eu lieu, selon lui, est que le montant était si important qu'il était impossible pour la plateforme d'échange de la finaliser.

Le bug a maintenant été corrigé et l’équipe de Bylica a informé d’autres échanges de la vulnérabilité potentielle.

« Choqué et terrifié »

Cependant, les craintes étaient toujours alimentées par le bug, étant donné qu’il aurait pu être largement applicable à d’autres échanges utilisant des jetons ERC-20.

Bien que l'équipe de Bylica n'ait pas vérifié l'existence de cette vulnérabilité sur d'autres échanges, il a mentionné que les inconvénients potentiels étaient sérieux.

« Nous avons été choqués et un BIT terrifiés de réaliser les conséquences potentielles de l'exploitation de ce bug par quelqu'un pour plusieurs jetons sur plusieurs échanges », a écrit Bylica.

Heureusement, certaines solutions proposées sont relativement simples à mettre en œuvre.

« Le simple fait de vérifier la longueur d’une adresse fournie par un utilisateur sécurise [les échanges] contre l’attaque décrite », écrit Bylica.

Réactions sur Reddit

Les réactions sur Reddit allaient d’une légère indignation à des débats sur la responsabilité des plateformes d’échange à fournir une sécurité renforcée.

« C'est du rudimentaire », a écrit BullBearBabyWhale. « Je suis une fois de plus étonné de constater à quel point les entreprises sérieuses dans ce domaine (qui repose entièrement sur la sécurité) ne prennent pas la question au sérieux. »

Pour ceux qui stockent des jetons basés sur Ethereum, y compris des jetons ERC-20, sur un échange, l'utilisateur de Reddit 1up8192 a recommandé de contacter les fournisseurs de services pour voir s'ils avaient vérifié la vulnérabilité.

« Demandez à votre bourse s'ils sont au courant de la possibilité d'injection et s'ils ont résolu le problème », ont-ils écrit.

Code informatiqueimage via Shutterstock