کشف آسیب‌پذیری در شبکه اتریوم

کشف آسیب‌پذیری در شبکه اتریوم

گروه توسعه دهنده برنامه‌های غیرمتمرکز و قراردادهای هوشمند اتریوم به نام Level K، از یک آسیب پذیری در فریم‌ورک اتریوم پرده برداشت که به صورت مخفی به افراد سودجو اجازه ساخت مقادیر بسیار بالایی از GasToken را به هنگام دریافت اتریوم می‌دهد.

در پست منتشر شده در تاریخ ۲۱ نوامبر، این شرکت افشا کرد که این نقص به عنوان یک خطر جدی برای صرافی‌های در معرض خطر نشانه‌گذاری و ارسال شده است تا با اعمال تغییرات نرم‌افزاری، از این آسیب‌پذیری در امان باشند.

ضعف امنیتی نهان در GasToken

این آسیب‌پذیری زمانی به وجود می‌آید که به آدرسی اتریوم فرستاده می‌شود و با استفاده از محاسبات دل‌ به خواهی که فرستنده تراکنش آن را پرداخت می‌کند می‌تواند منجر به خطر گریفینگ (griefing) شود. این ریسک به عملی که توسط فرد مخربی در شبکه برای آسیب زدن به کاربران آن طراحی شده گفته می‌شود. در واقع، مهاجم می‌تواند مبدا تراکنش که می‌تواند یک صرافی باشد را در صورتی که از لایه‌های محافظتی مانند محدودیت gas استفاده نکرده باشد، مجبور به پرداخت یک مقداری اختیاری برای محاسبات شبکه کند.

با ایجاد مقادیر بالایی از GasToken حین دریافت اتریوم، حداقل به صورت نظری این نوع حمله برای فرد مهاجم می‌تواند امکان سودآوری نیز داشته باشد.

چیزی که این موضوع را خطرناک‌تر کرده این است که تنها شامل اتریوم نمی‌شود و امکان انجام آن در تمامی توکن‌های برپایه اتریوم از جمله توکن‌های ساخته شده بر پایه استانداردهای ERC-721 و ERC-۲۰، وجود دارد. در صورت اجرای فراخوانی‌های انجام شده قراردادهای هوشمند و انجام انتقالات در شبکه، صرافی‌هایی که محدودیت gas برای تراکنش اینگونه توکن‌ها در نظر نگرفته‌اند، در نهایت به پرداخت مقادیر بالایی به ازای محاسبات انجام شده و سرنوشتی مشابه محکوم می‌شوند.

کشف آسیب‌پذیری در شبکه اتریوم

 

 

بخشی از پست منتشر شده از سوی Level K که این تهدید را با داستان ساده‌ای توضیح می‌دهد، به شرح زیر است:

ساده‌ترین سناریوی این رخنه به این صورت است که آلیس یک صرافی داشته و باب قصد دارد به این صرافی حمله کند. باب می‌تواند درخواست برداشت خود را از صرافی آلیس به آدرس خود (که قرارداد هوشمندی است که خود او با تابعی فشرده از نظر محاسباتی کنترل می‌کند) انجام دهد. اگر آلیس فراموش کرده باشد یک محدودیت gas یا همان gas limit منطقی قرار دهد، مجبور به پرداخت کارمزد تراکنش‌ها از کیف پول گرم خود خواهد بود. باب با داشتن تراکنش‌های کافی، می‌تواند سرمایه آلیس را خالی کند. اگر آلیس سیاست‌گذاری‌های شناخت مشتری (KYC) را در صرافی خودش انجام نداده باشد، باب با ساختن حساب‌های متعدد می‌تواند محدودیت برداشت روزانه را نیز دور بزند. علاوه بر این اگر باب قصد داشته باشد از این حملات نفعی هم ببرد، می‌تواند با ایجاد GasToken در تابع قرارداد هوشمند با خالی کردن حساب آلیس سودی به جیب بزند.

با استناد به پست منتشر شده Level K، به صرافی‌های تحت تأثیر این آسیب‌پذیری بالقوه به صورت خصوصی در تاریخ ۱۳ نوامبر اطلاع داده شده است. از آنجایی که دانستن اینکه کدام صرافی این محدودیت را اعمال کرده یا نه کار دشواری است، اطلاعیه خصوصی به بیشتر صرافی‌ها ارسال شده است.

همچنین این شرکت توسعه‌دهنده اطلاعیه جامعی درباره این تهدید منتشر کرده است.

منبع: ccn
ممکن است علاقه مند باشید
guest

استفاده از محتوای توهین‌آمیز، غیراخلاقی، دیدگاه‌های غیراقتصادی، تبلیغات و اطلاعات تماس یا لینک‌های نامرتبط ممنوع است.

نقض قوانین ممکن است منجر به عدم تأیید دیدگاه‌ها یا مسدودسازی حساب کاربران شود.

5 دیدگاه
امین
امین
5 سال و 4 ماه قبل

رقابت کثیف
رقبای نا حسابی
برای زدن هررر تیر خلاص بر بدنه ارزهای عالی اکراه نمیکنند
نمیگن با رشد ارزها اونهام رشد میکنن

ADEL
ADEL
5 سال و 4 ماه قبل
پاسخ  امین

این خبر خیلی وحشتناکی؛ کاملا درسته تمام ارز به مهم مرتبط هستن خدا کنه برای ارز دیجیتال دیگری مخصوصا برای سلطان پیش نیاد .

قلدر
قلدر
5 سال و 4 ماه قبل

کار اتریوم تمومه ,فقط اتریوم کلاسیک تو قراردادهای هوشمند امنه,اتریوم با با برگشت پول تو هک داعو نشون داد که علاوه بر اینکه امن نیست بلکه متمرکز هم هست!

آریا
آریا
5 سال و 4 ماه قبل
پاسخ  قلدر

کار خودت تمومه

امیر
امیر
5 سال و 4 ماه قبل
پاسخ  قلدر

من هم با بخشی از نظرتون موافقم.تو یک پست دیگه من دقیقا به همین قراردادهای هوشمند که اتریوم شروع کننده اون بود اما راه رو اشتباه رفت و به زودی اتریوم مثل یک ارز معمولی با سابقه ای نامشخص دچار خواهد شد امنیت فقط بخش اصلی یک ارز نیست بلکه پایداری و قابل استفاده بودن از همه چی مهم تر است. البته الان هم درگیر شده هر روز داره هش ریت اتریوم پایین می اید تا زمانی که یک نفر مثل بیت مین همه اتریوم ها رو با هش ریت خودش صاحب بشه. من دیروز ریگ هم رو فروختم.