Цікаве помилок на біржі запобігає крадіжці токенів Ethereum

Помилка, виявлена ​​минулого місяця, могла потенційно спустошити облікові записи обміну, що містять цифрові токени, які використовуються для роботи розподіленої програми на основі ефіру Golem.

Однак через характер помилки він також міг бути використаний на інших токенах Ethereum , указаних на біржі. Це тому, що він використовував стандарт платформи ERC-20, функцію, яка завоювала прихильників у секторі обміну завдяки своїй здатності скорочувати час, який потрібен біржам для додавання нових монет.

Однак прихильник Golem і власник GNT знайшли помилку 18 березня та повідомили про неї команді розробників, перш ніж її можна було використати зловмисно.

Проблема, яка виявилася, пов’язана з тим, як біржі готують дані для транзакцій і як Solidity (мова смарт-контрактів Ethereum ) кодує та декодує дані транзакцій, за словами інженера-програміста Golem Factory Павла Біліки, який опублікував звіт по питанню.

Згідно з його оцінкою, служба, яка підготувала дані для передачі токенів, припускає введення адреси довжиною 20 байт, але насправді T перевіряла, чи введені дані мають правильну довжину.

У результаті менша довжина адреси призвела до зміщення суми транзакції вліво, тим самим збільшуючи її вартість.

Відповідно до публікації Bylica, користувач Golem повідомив про «дивну» транзакцію, яка набула настільки великого значення, що могла спустошити весь обліковий запис біржі GNT. Насправді, за його словами, єдиною причиною, чому цього T сталося, є те, що кількість була настільки великою, що обмін не міг її завершити.

Зараз цю помилку виправлено, і команда Bylica повідомила інші біржі про потенційну вразливість.

«Шокований і наляканий»

Тим не менш, побоювання все ще викликали помилку, враховуючи, що вона могла бути широко застосована до інших бірж, які використовують токени ERC-20.

Хоча команда Біліки не підтвердила існування цієї вразливості на інших біржах, він зазначив, що потенційні недоліки є серйозними.

«Ми були шоковані та BIT налякані, усвідомлюючи потенційні наслідки того, що хтось скористався цією помилкою для кількох токенів на кількох біржах», — написав Биліца.

На щастя, деякі запропоновані виправлення відносно прості у застосуванні.

«Проста перевірка довжини адреси, наданої користувачем, захищає [біржі] від описаної атаки», — написав Bylica.

Реакція Reddit

Реакція на Reddit коливалася від легкого обурення до дебатів про відповідальність бірж забезпечувати підвищену безпеку.

«Це просто», — написав користувач BullBearBabyWhale. «Я знову вражений, наскільки серйозний бізнес у цьому просторі (а це все стосується безпеки) не сприймає це серйозно».

Тим, хто зберігає на біржі будь-які токени на основі ефіріуму, включно з токенами ERC-20, користувач Reddit 1up8192 порекомендував звернутися до постачальників послуг, чи перевірили вони наявність уразливості.

"Запитайте свою біржу, чи знають вони про можливість ін'єкції та чи вирішили вони проблему", - написали вони.

Комп'ютерний код зображення через Shutterstock