安全公司:以太坊框架中存在漏洞,攻擊者或可獲取交易所全部ETH
據CCN 11月22日報道,以太坊智慧合約和dApp開發者Level K發現以太坊框架中存在一個漏洞,攻擊者可以利用該漏洞在接收ETH時鑄造大量GasToken。
圖片來源: ofollow,noindex" target="_blank">unsplash
在11月21日發表的一篇部落格文章中,該公司透露,大多數高風險交易所都注意到了這個漏洞,這些交易所自那時起就就實施了軟體補丁升級以遏制這一威脅。
潛在的GasToken安全漏洞
當傳送ETH到某個地址時,該漏洞就會顯露出來。接收地址隨後就可以執行交易發起者支付的任意運算,從而帶來了破壞性的風險,惡意行為者的這種行為的目的是對網路使用者造成損害。從理論上講,如果交易所沒有gas限制等保護措施,攻擊者將能夠讓交易發起者(如交易所)支付任意數量的計算費用。
因此,通過在接受ETH的同時鑄造大量的GasToken,至少在理論上,這種破壞性的攻擊對攻擊者來說是有利可圖的。
而且,此類風險不僅限於ETH,還包括所有基於以太坊的代幣,例如構建在ERC-721和ERC-20標準上的代幣。在執行合約呼叫以實現轉賬的過程中,如果交易所在進行此類代幣交易時沒有設定gas限制,它們最終可能會遭受同樣的命運並支付大量計算費用。
Level K發表的一篇文章中用一個假設的案例研究解釋了這種威脅,現節選如下:
“舉一個利用該漏洞的最簡單的例子,Alice執行一家交易所,Bob想要攻擊它。Bob可以使用計算密集型回退功能向其控制的合約地址發起提款。如果Alice忘記設定一個合理的GAS上限,她就會從她的錢包裡支付交易費用。如果有足夠多的交易,Bob可以抽走愛麗絲的資金。如果Alice沒有執行KYC策略,Bob可以建立多個帳戶來規避單個帳戶的取款限制。另外,如果Bob還想賺錢,他可以在他的回退功能中鑄造GasToken,在賺錢的同時將Alice的錢包洗劫一空。”
根據Level K的說法,它在11月13日私下通知了可能受該漏洞影響的交易所,因為無法確切地說哪些交易所沒有提供保護,所以該通知被髮送到了儘可能多的交易所,所有這些交易所都已經實施了補丁升級來解決這個問題。
Level K還就如何完全消除並控制威脅釋出了更多細節資訊。