Level K обнародовала детали обнаруженной ранее уязвимости Ethereum

[enot75]

Занимающаяся разработкой решений в экосистеме Ethereum компания Level K обнародовала детали обнаруженной ранее уязвимости в протоколе криптовалюты.

«Когда ETH отправляется на какой-либо адрес, этот адрес может осуществить произвольные вычисления, за которые расплачивается инициатор транзакции. Эта особенность называется вектором вредительства, - пишет она. – Однако в некоторых случаях подвергающиеся риску системы, такие как биржи криптовалют, не реализовывали необходимые меры предосторожности».

Токен Gas на блокчейне Ethereum использует механизм возмещения средств, который позволяет пользователям сохранять токены при их низкой цене и получать токены в случае высокой цены. Генерируя крупные объёмы токенов Gas при получении Ethereum, пользователи могут использовать вышеназванный вектор вредительства для собственного обогащения.

«Поскольку ранее не было известно, какие биржи реализовали необходимые меры предосторожности, а какие – нет, мы в частном порядке раскрыли информацию о ней максимально возможному числу бирж, которые теперь не находятся в зоне риска. Насколько нам известно, все биржи, имевшие уязвимость и получившие наше уведомление, устранили её», – добавляет компания.

Впервые информация об уязвимости Ethereum появилась в сети 9 ноября, а 13 ноября участники экосистемы, которые могли пострадать от неё, уже получили соответствующее предупреждение.

Как отмечают исследователи в документе с подробным описанием проблемы, уязвимость затрагивает те биржи, которые инициируют транзакции, но не те, которые только обрабатывают их. Таким образом, децентрализованные биржи и прочие платформы на базе смарт-контрактов, которые занимаются обработкой транзакций, отправляемых пользователями, не могут быть атакованы при помощи описанного способа. Однако любой, кто создаёт Ethereum-транзакции и передаёт их на произвольные адреса, может пострадать.

Кроме того, уязвимость может обнаруживаться и в других системах на базе виртуальной машины Ethereum (EVM), в том числе Ethereum Classic и POA Network.

Для предотвращения атак участникам экосистемы рекомендуется устанавливать «обоснованный» лимит газа и перекладывать затраты на пользователей, если им необходимо проводить дорогостоящие вычисления.

источник: https://ttrcoin.com/level-k-obnarodovala-detali-obnarujennoy-ranee-uyazvimosti-ethereum.5495/