Praeitą mėnesį atrasta klaida gali potencialiai ištuštinti mainų sąskaitas, kuriose yra skaitmeninių žetonų, naudojamų "Etherum" paskirstytoje programoje "Golem" valdyti.

Tačiau dėl klaidos pobūdžio jis taip pat galėjo būti naudojamas kitose "ehereum" žetonuose, nurodytuose biržoje. Taip yra todėl, kad jis naudojosi platformos ERC-20 standartu - funkcija, kuri laimėjo advokatų mainų sektoriuje, nes jis sugebėjo sumažinti laiką, kurį reikia keisti, norint pridėti naujų monetų.

Tačiau Golemo rėmėjas ir GNT turėtojas kovo 18 d. Nustatė klaidą ir apie tai pranešė kūrėjų komandai, kad ją būtų galima piktavališkai naudoti.

Problema atsirado dėl to, kaip mainai rengia duomenis apie sandorius ir kaip "Solidarity" ("eriteum" sumani perkančiosios kalbos kalba) koduoja ir dekoduoja sandorių duomenis, teigia "Golem Factory" programinės įrangos inžinierius Pawel Bylica, kuris paskelbė ataskaitą apie klausimas.

Remiantis jo įvertinimu, paslauga, kuri parengė duomenis tokiems perdavimams, prisiima 20 baitų ilgio adreso įvestį, tačiau faktiškai netikrino, ar įvestis buvo tinkamo ilgio.

Dėl to dėl trumpesnio adreso ilgio sandorio suma buvo perkelta į kairę, taip padidėjo jo vertė.

Golemo naudotojas pranešė apie "keistą" sandorį, kuris įgijo tiek daug vertės, kad, remiantis Bylica įrašu, jis galėjo ištuštinti visą biržos GNT sąskaitą. Jis sakė, kad vienintelis priežastis, kad tai nebuvo, sako, kad šis skaičius buvo toks didelis, kad keitimą neįmanoma užbaigti.

Ši problema buvo ištaisyta, o "Bylica" komanda pranešė apie kitus galimus pažeidimus.

"Šokas ir siaubtas"

Vis dėlto baimės vis dar buvo susijusios su klaidomis, nes tai galėjo būti plačiai pritaikyta kitiems mainams, naudojant ERC-20 žetonus.

Nors "Bylica" komanda nepatikrino, ar šis pažeidžiamumas egzistuoja kituose biržose, jis paminėjo, kad galimos kliūtys yra rimtos.

"Mes buvome šokiruoti ir šiek tiek siaubu suvokti potencialius padarinius, kuriuos kažkas naudoja šią klaidą keliems žetonams daugybėje biržų", - rašė Bylica.

Laimei, kai kurie siūlomi pakeitimai yra palyginti paprasti.

"Tiesiog patikrinti vartotojo pateikto adreso ilgį užtikrina [mainus] iš aprašyto išpuolio", - rašė Bylica.

Reddit reakcijos

"Reddit" reakcija svyravo nuo silpno pasipiktinimo iki diskusijų dėl mainų atsakomybės užtikrinti didesnį saugumą.

"Tai yra pagrindiniai dalykai", - parašė vartotojas "BullBearBabyWhale". "Aš dar kartą nustebau, kaip rimtas verslas šioje erdvėje (tai yra apie saugumą) neatsižvelgia į tai rimtai."

Tiems, kurie saugo ehereum pagrįstus žetonus, įskaitant ERC-20 žetonus, keitimosi metu Reddit vartotojo 1up8192 rekomendavo kreiptis į paslaugų teikėjus, kad įsitikintumėte, ar jie patikrino pažeidžiamumą.

" Paklauskite savo mainų jei jie žino apie injekcijos galimybę ir ar jie išsprendė problemą ", - rašė jie.

Kompiuterinio kodo vaizdas per" Shutterstock "