Истории ошибки на бирже предотвращает кражу токенов Ethereum

Ошибка, обнаруженная в прошлом месяце, могла привести к опустошению счетов биржи, содержащих цифровые токены, используемые для работы распределенного приложения Golem на базе Ethereum.

Однако из-за характера ошибки он также мог быть использован на других токенах Ethereum , представленных на бирже. Это потому, что он использовал стандарт платформы ERC-20, функцию, которая завоевала сторонников в секторе бирж благодаря своей способности сокращать время, необходимое биржам для добавления новых монет.

Однако сторонник Golem и владелец GNT обнаружили ошибку 18 марта и сообщили о ней команде разработчиков, прежде чем ее смогли использовать во вредоносных целях.

По словам инженера-программиста Golem Factory Павла Былицы, проблема, которая обнаружилась, связана с тем, как биржи готовят данные для транзакций и как Solidity (язык смарт-контрактов Ethereum ) кодирует и декодирует данные транзакций. опубликовал отчетпо этому вопросу.

По его оценке, служба, которая подготовила данные для передачи токенов, предполагает ввод адреса длиной 20 байт, но на самом деле T проверяет, имеет ли ввод правильную длину.

В результате меньшая длина адреса привела к смещению суммы транзакции влево, тем самым увеличив ее ценность.

Пользователь Golem сообщил о «странной» транзакции, которая приобрела такую ​​большую стоимость, что могла бы опустошить весь счет биржи GNT, согласно сообщению Bylica. Фактически, единственная причина, по которой этого T произошло, по его словам, заключается в том, что число было настолько большим, что биржа не могла его завершить.

Теперь ошибка исправлена, и команда Bylica уведомила другие биржи о потенциальной уязвимости.

«Шокирован и напуган»

Тем не менее, опасения по поводу ошибки все еще сохранялись, поскольку она могла быть широко распространена на других биржах, использующих токены ERC-20.

Хотя команда Былицы не подтвердила наличие этой уязвимости на других биржах, он упомянул, что потенциальные недостатки серьезны.

«Мы были шокированы и BIT напуганы, осознав потенциальные последствия того, что кто-то воспользуется этой ошибкой для нескольких токенов на нескольких биржах», — написал Былица.

К счастью, некоторые предлагаемые исправления относительно просты в реализации.

«Простая проверка длины адреса, предоставленного пользователем, защищает [обмен] от описанной атаки», — написал Былица.

Реакции Reddit

Реакция на Reddit варьировалась от легкого возмущения до дебатов об ответственности бирж за обеспечение повышенной безопасности.

«Это элементарная вещь», — написал пользователь BullBearBabyWhale. «Я снова поражаюсь, как серьезный бизнес в этой сфере (которая полностью посвящена безопасности) не воспринимает это всерьез».

Пользователь Reddit 1up8192 порекомендовал тем, кто хранит на бирже токены на основе Ethereum, включая токены ERC-20, обратиться к поставщикам услуг, чтобы узнать, проверили ли они наличие уязвимости.

«Спросите на своей бирже, знают ли они о возможности инъекций и решили ли они эту проблему», — написали они.

Компьютерный кодизображение через Shutterstock