Een bug die vorige maand is ontdekt, heeft mogelijk mogelijk wisselkoersrekeningen geleegd met digitale tokens die worden gebruikt voor de voeding van de op ethereum gebaseerde gedistribueerde applicatie Golem.

Vanwege de aard van de bug, had deze echter ook kunnen worden gebruikt op andere ethereum-tokens die op de centrale zijn vermeld. Dat komt omdat het de ERC-20-standaard van het platform gebruikte, een functie die voorstanders in de uitwisselingssector heeft gewonnen vanwege de mogelijkheid om de tijd die het uitwisselt om nieuwe munten toe te voegen te verkorten.

Echter, een Golem-aanhanger en een GNT-houder vonden de bug op 18 maart en meldden deze aan het ontwikkelteam voordat deze kwaadwillig kon worden gebruikt.

Het probleem dat aan het licht kwam, vloeit voort uit de manier waarop uitwisselingen de gegevens voorbereiden op transacties en hoe Solidity (de ethereum slimme contractietaal) de transactiegegevens codeert en decodeert, volgens Golem Factory software-ingenieur Pawel Bylica, die een rapport publiceerde over de kwestie.

Volgens zijn beoordeling gaat de service die de gegevens voor tokenoverdracht heeft voorbereid uit van een adresinvoer van 20 bytes, maar heeft deze niet gecontroleerd of de invoer de juiste lengte had.

De Golem-gebruiker meldde een "vreemde" transactie die zoveel waarde heeft verdiend dat deze het volledige Exchange GNT-account zou hebben geleegd, volgens Bylica's bericht. In feite, alleen hij redeneerde dat dit niet gebeurde, zei hij, is dat het aantal zo groot was dat het onmogelijk was voor de uitwisseling om het te voltooien.

De bug is nu opgelost en het Bylica-team heeft andere uitwisselingen van de potentiële kwetsbaarheid gemeld.

'Geschokt en doodsbang'

Toch waren de angsten nog steeds gestoord door de bug, aangezien deze mogelijk van grote invloed was op andere uitwisselingen met ERC-20-tokens.

Hoewel het team van Bylica het bestaan ​​van deze kwetsbaarheid op andere beurzen niet heeft geverifieerd, zei hij dat de mogelijke nadelen ernstig waren.

"We waren geschokt en een beetje doodsbang om de potentiële consequenties te zien van iemand die misbruik maakt van die bug voor meerdere tokens op meerdere uitwisselingen," schreef Bylica.

Gelukkig zijn sommige voorgestelde oplossingen relatief eenvoudig te implementeren.

"Het eenvoudig controleren van de lengte van een adres door een gebruiker beveiligt [uitwisselingen] van de beschreven aanval", schreef Bylica.

Reddit-reacties

De reactie op Reddit varieerde van milde verontwaardiging tot debatten over de verantwoordelijkheid van uitwisselingen om verbeterde beveiliging te bieden.

"Dit is basisdingen," schreef gebruiker BullBearBabyWhale. "Ik ben weer verbaasd hoe serieus zaken doen in deze ruimte (en dat is alles over beveiliging) het niet serieus neemt."

Voor degenen die ethereum-gebaseerde tokens, waaronder ERC-20-tokens, op een centrale opslaan, adviseerde Reddit-gebruiker 1up8192 om contact op te nemen met de serviceproviders om te controleren of ze hadden gecontroleerd op het beveiligingslek.

" Ask your exchange als ze weten dat injectie mogelijk is en als ze het probleem hebben opgelost, "schreven ze.

Computercode afbeelding via Shutterstock