00: 00: 00
ارز دیجیتال > اخبار > کشف آسیب‌پذیری در شبکه اتریوم
اخبار

کشف آسیب‌پذیری در شبکه اتریوم

گروه توسعه دهنده برنامه‌های غیرمتمرکز و قراردادهای هوشمند اتریوم به نام Level K، از یک آسیب پذیری در فریم‌ورک اتریوم پرده برداشت که به صورت مخفی به افراد سودجو اجازه ساخت مقادیر بسیار بالایی از GasToken را به هنگام دریافت اتریوم می‌دهد.

در پست منتشر شده در تاریخ ۲۱ نوامبر، این شرکت افشا کرد که این نقص به عنوان یک خطر جدی برای صرافی‌های در معرض خطر نشانه‌گذاری و ارسال شده است تا با اعمال تغییرات نرم‌افزاری، از این آسیب‌پذیری در امان باشند.

ضعف امنیتی نهان در GasToken

این آسیب‌پذیری زمانی به وجود می‌آید که به آدرسی اتریوم فرستاده می‌شود و با استفاده از محاسبات دل‌ به خواهی که فرستنده تراکنش آن را پرداخت می‌کند می‌تواند منجر به خطر گریفینگ (griefing) شود. این ریسک به عملی که توسط فرد مخربی در شبکه برای آسیب زدن به کاربران آن طراحی شده گفته می‌شود. در واقع، مهاجم می‌تواند مبدا تراکنش که می‌تواند یک صرافی باشد را در صورتی که از لایه‌های محافظتی مانند محدودیت gas استفاده نکرده باشد، مجبور به پرداخت یک مقداری اختیاری برای محاسبات شبکه کند.

با ایجاد مقادیر بالایی از GasToken حین دریافت اتریوم، حداقل به صورت نظری این نوع حمله برای فرد مهاجم می‌تواند امکان سودآوری نیز داشته باشد.

چیزی که این موضوع را خطرناک‌تر کرده این است که تنها شامل اتریوم نمی‌شود و امکان انجام آن در تمامی توکن‌های برپایه اتریوم از جمله توکن‌های ساخته شده بر پایه استانداردهای ERC-721 و ERC-20، وجود دارد. در صورت اجرای فراخوانی‌های انجام شده قراردادهای هوشمند و انجام انتقالات در شبکه، صرافی‌هایی که محدودیت gas برای تراکنش اینگونه توکن‌ها در نظر نگرفته‌اند، در نهایت به پرداخت مقادیر بالایی به ازای محاسبات انجام شده و سرنوشتی مشابه محکوم می‌شوند.

کشف آسیب‌پذیری در شبکه اتریوم

 

 

بخشی از پست منتشر شده از سوی Level K که این تهدید را با داستان ساده‌ای توضیح می‌دهد، به شرح زیر است:

ساده‌ترین سناریوی این رخنه به این صورت است که آلیس یک صرافی داشته و باب قصد دارد به این صرافی حمله کند. باب می‌تواند درخواست برداشت خود را از صرافی آلیس به آدرس خود (که قرارداد هوشمندی است که خود او با تابعی فشرده از نظر محاسباتی کنترل می‌کند) انجام دهد. اگر آلیس فراموش کرده باشد یک محدودیت gas یا همان gas limit منطقی قرار دهد، مجبور به پرداخت کارمزد تراکنش‌ها از کیف پول گرم خود خواهد بود. باب با داشتن تراکنش‌های کافی، می‌تواند سرمایه آلیس را خالی کند. اگر آلیس سیاست‌گذاری‌های شناخت مشتری (KYC) را در صرافی خودش انجام نداده باشد، باب با ساختن حساب‌های متعدد می‌تواند محدودیت برداشت روزانه را نیز دور بزند. علاوه بر این اگر باب قصد داشته باشد از این حملات نفعی هم ببرد، می‌تواند با ایجاد GasToken در تابع قرارداد هوشمند با خالی کردن حساب آلیس سودی به جیب بزند.

با استناد به پست منتشر شده Level K، به صرافی‌های تحت تأثیر این آسیب‌پذیری بالقوه به صورت خصوصی در تاریخ ۱۳ نوامبر اطلاع داده شده است. از آنجایی که دانستن اینکه کدام صرافی این محدودیت را اعمال کرده یا نه کار دشواری است، اطلاعیه خصوصی به بیشتر صرافی‌ها ارسال شده است.

همچنین این شرکت توسعه‌دهنده اطلاعیه جامعی درباره این تهدید منتشر کرده است.

منبع: ccn
[تعداد: 0    میانگین: 0/5]

کشف آسیب‌پذیری در شبکه اتریوم

درباره نویسنده

نیما ملک پور

نیما ملک پور

دانش‌آموخته مهندسی نفت هستم و یادگیری شغل من است
علاقه‌مند به بیت کوین و اقتصاد

5
دیدگاه کاربران

avatar
2 Comment threads
3 Thread replies
5 Followers
 
Most reacted comment
Hottest comment thread
5 Comment authors
آریاADELامیرامینقلدر Recent comment authors
  اشتراک  
جدید ترین قدیمی ترین بیشترین امتیاز
اطلاع از
امین
امین

رقابت کثیف
رقبای نا حسابی
برای زدن هررر تیر خلاص بر بدنه ارزهای عالی اکراه نمیکنند
نمیگن با رشد ارزها اونهام رشد میکنن

ADEL
ADEL

این خبر خیلی وحشتناکی؛ کاملا درسته تمام ارز به مهم مرتبط هستن خدا کنه برای ارز دیجیتال دیگری مخصوصا برای سلطان پیش نیاد .

قلدر
قلدر

کار اتریوم تمومه ,فقط اتریوم کلاسیک تو قراردادهای هوشمند امنه,اتریوم با با برگشت پول تو هک داعو نشون داد که علاوه بر اینکه امن نیست بلکه متمرکز هم هست!

امیر
امیر

من هم با بخشی از نظرتون موافقم.تو یک پست دیگه من دقیقا به همین قراردادهای هوشمند که اتریوم شروع کننده اون بود اما راه رو اشتباه رفت و به زودی اتریوم مثل یک ارز معمولی با سابقه ای نامشخص دچار خواهد شد امنیت فقط بخش اصلی یک ارز نیست بلکه پایداری و قابل استفاده بودن از همه چی مهم تر است. البته الان هم درگیر شده هر روز داره هش ریت اتریوم پایین می اید تا زمانی که یک نفر مثل بیت مین همه اتریوم ها رو با هش ریت خودش صاحب بشه. من دیروز ریگ هم رو فروختم.

آریا
آریا

کار خودت تمومه