کشف آسیب‌پذیری در شبکه اتریوم

گروه توسعه دهنده برنامه‌های غیرمتمرکز و قراردادهای هوشمند اتریوم به نام Level K، از یک آسیب پذیری در فریم‌ورک اتریوم پرده برداشت که به صورت مخفی به افراد سودجو اجازه ساخت مقادیر بسیار بالایی از GasToken را به هنگام دریافت اتریوم می‌دهد.

در پست منتشر شده در تاریخ ۲۱ نوامبر، این شرکت افشا کرد که این نقص به عنوان یک خطر جدی برای صرافی‌های در معرض خطر نشانه‌گذاری و ارسال شده است تا با اعمال تغییرات نرم‌افزاری، از این آسیب‌پذیری در امان باشند.

ضعف امنیتی نهان در GasToken

این آسیب‌پذیری زمانی به وجود می‌آید که به آدرسی اتریوم فرستاده می‌شود و با استفاده از محاسبات دل‌ به خواهی که فرستنده تراکنش آن را پرداخت می‌کند می‌تواند منجر به خطر گریفینگ (griefing) شود. این ریسک به عملی که توسط فرد مخربی در شبکه برای آسیب زدن به کاربران آن طراحی شده گفته می‌شود. در واقع، مهاجم می‌تواند مبدا تراکنش که می‌تواند یک صرافی باشد را در صورتی که از لایه‌های محافظتی مانند محدودیت gas استفاده نکرده باشد، مجبور به پرداخت یک مقداری اختیاری برای محاسبات شبکه کند.

با ایجاد مقادیر بالایی از GasToken حین دریافت اتریوم، حداقل به صورت نظری این نوع حمله برای فرد مهاجم می‌تواند امکان سودآوری نیز داشته باشد.

چیزی که این موضوع را خطرناک‌تر کرده این است که تنها شامل اتریوم نمی‌شود و امکان انجام آن در تمامی توکن‌های برپایه اتریوم از جمله توکن‌های ساخته شده بر پایه استانداردهای ERC-721 و ERC-۲۰، وجود دارد. در صورت اجرای فراخوانی‌های انجام شده قراردادهای هوشمند و انجام انتقالات در شبکه، صرافی‌هایی که محدودیت gas برای تراکنش اینگونه توکن‌ها در نظر نگرفته‌اند، در نهایت به پرداخت مقادیر بالایی به ازای محاسبات انجام شده و سرنوشتی مشابه محکوم می‌شوند.

بخشی از پست منتشر شده از سوی Level K که این تهدید را با داستان ساده‌ای توضیح می‌دهد، به شرح زیر است:

ساده‌ترین سناریوی این رخنه به این صورت است که آلیس یک صرافی داشته و باب قصد دارد به این صرافی حمله کند. باب می‌تواند درخواست برداشت خود را از صرافی آلیس به آدرس خود (که قرارداد هوشمندی است که خود او با تابعی فشرده از نظر محاسباتی کنترل می‌کند) انجام دهد. اگر آلیس فراموش کرده باشد یک محدودیت gas یا همان gas limit منطقی قرار دهد، مجبور به پرداخت کارمزد تراکنش‌ها از کیف پول گرم خود خواهد بود. باب با داشتن تراکنش‌های کافی، می‌تواند سرمایه آلیس را خالی کند. اگر آلیس سیاست‌گذاری‌های شناخت مشتری (KYC) را در صرافی خودش انجام نداده باشد، باب با ساختن حساب‌های متعدد می‌تواند محدودیت برداشت روزانه را نیز دور بزند. علاوه بر این اگر باب قصد داشته باشد از این حملات نفعی هم ببرد، می‌تواند با ایجاد GasToken در تابع قرارداد هوشمند با خالی کردن حساب آلیس سودی به جیب بزند.

با استناد به پست منتشر شده Level K، به صرافی‌های تحت تأثیر این آسیب‌پذیری بالقوه به صورت خصوصی در تاریخ ۱۳ نوامبر اطلاع داده شده است. از آنجایی که دانستن اینکه کدام صرافی این محدودیت را اعمال کرده یا نه کار دشواری است، اطلاعیه خصوصی به بیشتر صرافی‌ها ارسال شده است.

همچنین این شرکت توسعه‌دهنده اطلاعیه جامعی درباره این تهدید منتشر کرده است.

منبع: ccn