安全公司:以太坊框架中存在漏洞,攻击者或可获取交易所全部ETH

栏目: 编程工具 · 发布时间: 5年前

内容简介:据CCN 11月22日报道,以太坊智能合约和dApp开发者Level K发现以太坊框架中存在一个漏洞,攻击者可以利用该漏洞在接收ETH时铸造大量GasToken。图片来源:

据CCN 11月22日报道,以太坊智能合约和dApp开发者Level K发现以太坊框架中存在一个漏洞,攻击者可以利用该漏洞在接收ETH时铸造大量GasToken。

安全公司:以太坊框架中存在漏洞,攻击者或可获取交易所全部ETH

图片来源: unsplash

在11月21日发表的一篇博客文章中,该公司透露,大多数高风险交易所都注意到了这个漏洞,这些交易所自那时起就就实施了软件补丁升级以遏制这一威胁。

潜在的GasToken安全漏洞

当发送ETH到某个地址时,该漏洞就会显露出来。接收地址随后就可以执行交易发起者支付的任意运算,从而带来了破坏性的风险,恶意行为者的这种行为的目的是对网络用户造成损害。从理论上讲,如果交易所没有gas限制等保护措施,攻击者将能够让交易发起者(如交易所)支付任意数量的计算费用。

因此,通过在接受ETH的同时铸造大量的GasToken,至少在理论上,这种破坏性的攻击对攻击者来说是有利可图的。

而且,此类风险不仅限于ETH,还包括所有基于以太坊的代币,例如构建在ERC-721和ERC-20标准上的代币。在执行合约调用以实现转账的过程中,如果交易所在进行此类代币交易时没有设置gas限制,它们最终可能会遭受同样的命运并支付大量计算费用。

Level K发表的一篇文章中用一个假设的案例研究解释了这种威胁,现节选如下:

“举一个利用该漏洞的最简单的例子,Alice运行一家交易所,Bob想要攻击它。Bob可以使用计算密集型回退功能向其控制的合约地址发起提款。如果Alice忘记设定一个合理的GAS上限,她就会从她的钱包里支付交易费用。如果有足够多的交易,Bob可以抽走爱丽丝的资金。如果Alice没有执行KYC策略,Bob可以创建多个帐户来规避单个帐户的取款限制。另外,如果Bob还想赚钱,他可以在他的回退功能中铸造GasToken,在赚钱的同时将Alice的钱包洗劫一空。”

根据Level K的说法,它在11月13日私下通知了可能受该漏洞影响的交易所,因为无法确切地说哪些交易所没有提供保护,所以该通知被发送到了尽可能多的交易所,所有这些交易所都已经实施了补丁升级来解决这个问题。

Level K还就如何完全消除并控制威胁发布了更多细节信息。


以上所述就是小编给大家介绍的《安全公司:以太坊框架中存在漏洞,攻击者或可获取交易所全部ETH》,希望对大家有所帮助,如果大家有任何疑问请给我留言,小编会及时回复大家的。在此也非常感谢大家对 码农网 的支持!

查看所有标签

猜你喜欢:

本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们

生命3.0

生命3.0

[美] 迈克斯·泰格马克 / 汪婕舒 / 浙江教育出版社 / 2018-6 / 99.90元

《生命3.0》一书中,作者迈克斯·泰格马克对人类的终极未来进行了全方位的畅想,从我们能活到的近未来穿行至1万年乃至10 亿年及其以后,从可见的智能潜入不可见的意识,重新定义了“生命”“智能”“目标”“意识”,并澄清了常见的对人工智能的误解,将帮你构建起应对人工智能时代动态的全新思维框架,抓住人类与人工智能共生演化的焦点。 迈克斯·泰格马克不仅以全景视角探讨了近未来人工智能对法律、战争、就业和......一起来看看 《生命3.0》 这本书的介绍吧!

SHA 加密
SHA 加密

SHA 加密工具

XML、JSON 在线转换
XML、JSON 在线转换

在线XML、JSON转换工具

RGB HSV 转换
RGB HSV 转换

RGB HSV 互转工具