当前位置: 首页 > 百家 > 正文

漏洞曝光,以太坊代币或可被恶意攻击

漏洞曝光,以太坊代币或可被恶意攻击

以太坊智能合约和去中心化应用程序开发团队 Level K已经发现了以太坊框架中存在的漏洞,该漏洞可能允许不良参与者在接收ETH时消耗大量的GasToken。

在11月21日发布的一篇博客文章中该公司透露,大多数处于风险中的交易所都注意到了这一漏洞并且已经对软件进行了修补,以遏制这一威胁。

GasToken潜在的安全漏洞

当ETH被发送到一个地址时就会出现这个漏洞,该地址随后就能够执行交易发起人支付的任意计算,这将会带来“可怕”的风险,恶意行为者的目的是对网络用户造成伤害。 从理论上讲,如果交易所没有像gas限制那样的保护措施,那么攻击者就能够使交易发起人支付任意数量的计算。

通过在接收ETH的同时铸造大量的GasToken,因此至少在理论上这种可怕的攻击对于一个恶意攻击者来说是有利可图的。

更重要的是,这种风险不仅限于ETH,还包括所有基于以太坊的代币,例如基于ERC-721和ERC-20标准的代币。在执行合同调用以实现转移的过程中,没有为这些代币交易设置gas限制的交易所最终可能会支付大量的计算费用并遭受类似的命运。

Level K发表的材料摘录中使用假设案例研究解释了这种威胁,内容如下:“在最简单的利用场景中,Alice发起一笔交易,而Bob想要破坏它。 Bob可以通过计算密集型回退功能将提款发送到他控制的合同地址。 如果Alice忽略了设定合理的gas限制,她将从她的钱包中支付交易费用。 如果有足够的交易,那么Bob就可以消耗尽Alice的资金。 如果Alice未能执行’了解您的客户’(KYC)政策,Bob还可以创建大量帐户来规避单一帐户提款限额。此外,如果Bob也想赚钱,他可以在他的后备功能中铸造GasToken,赚钱的同时让Alice钱包中的资金流失。”

据 Level K透露,他们已于11月13日对可能受此漏洞影响的交易所进行私下通知,由于无法准确说明哪些交易没有得到保护,因此该通知被发送给尽可能多的交易所,所有交易所都在实施补丁进行解决问题。

Level K还发布了进一步的信息,威胁的完整纲要以及为此遏制威胁所采取的行动。

作者:David Hundeyin

翻译:cici@比特财经

网址:https://www.ccn.com/ethereum-token-hit-by-malicious-minting-attack/

【声明:此文为本站原创翻译,如有不当之处请多指教!欢迎转载,转载请务必注明译者以及转自比特财经!】

(免责声明:本文仅代表作者本人观点,不代表比特财经立场)

 

转自:比特币中文网

固定链接: 漏洞曝光,以太坊代币或可被恶意攻击 | 三个硬币

该日志由 bitman 于2018年11月23日发表在 百家 分类下, 你可以发表评论,并在保留原文地址及作者的情况下引用到你的网站或博客。
原创文章转载请注明: 漏洞曝光,以太坊代币或可被恶意攻击 | 三个硬币
关键字:

漏洞曝光,以太坊代币或可被恶意攻击:等您坐沙发呢!

发表评论

快捷键:Ctrl+Enter