区块链资讯
数字货币行情

以太坊令牌被恶意击打攻击击中

比特币价格

以太坊智能合约和dApp开发人员K级已经发现了以太坊框架中存在的漏洞,该漏洞可能允许不良参与者在接收ETH时发泄大量的GasToken。

在11月21日发布的一篇博文中,该公司透露,这些弱点已被标记给大多数风险交易所,这些交易所已经影响了软件补丁以遏制威胁。

潜在的GasToken安全弱点

当ETH被发送到一个地址时就会出现这个漏洞,然后该地址能够执行交易发起人支付的任意计算,这会带来“悲伤”的风险 – 一个旨在造成损害的恶意行为者的行为网络用户。从理论上讲,如果交易所没有像天然气限制那样的保护措施,那么攻击者就能够创建交易发起人,例如交换支付任意数量的计算。

通过在接收ETH的同时铸造大量的 GasToken,因此至少在理论上可以使这种悲伤的攻击变得对一个坏的演员有利可图。

更重要的是,风险不仅限于ETH,还包括所有基于以太坊的代币,例如基于ERC-721和ERC-20标准的代币。在执行合同调用以实现转移的过程中,没有为这些代币进行交易设置气体限制的交易所最终可能会支付大量的计算费用并遭受类似的命运。

K级发表的材料摘录使用假设的案例研究解释了威胁,内容如下:

“在最简单的漏洞利用场景中,Alice运行一个交换机,鲍勃想要伤害它。Bob可以通过计算密集型回退功能启动提款到他控制的合同地址。如果Alice忽略了设定合理的燃气限额,她将从她的热钱包中支付交易费用。如果有足够的交易,Bob可以消耗Alice的资金。如果Alice未能执行“了解您的客户”(KYC)政策,Bob可以创建大量帐户来规避单一帐户提款限额。此外,如果鲍勃也想赚钱,他可以在他的后备功能中铸造GasToken,赚钱同时让爱丽丝的钱包流失。“

根据K级,可能受此漏洞影响的交易所已于11月13日私下通知,由于无法准确说明哪些交易没有得到保护,因此该通知被发送给尽可能多的交易所,所有交易所都有现在实施补丁来解决问题。

赞(0) 打赏

华为系团队打造,不花一分钱,每天躺赚200元
未经允许不得转载:三氪猫数字货币媒体 » 以太坊令牌被恶意击打攻击击中

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

微信扫一扫打赏