Nhà phát triển hợp đồng thông minh và DApp Ethereum, Level K đã phát hiện ra sự tồn tại của một lỗ hổng trong khuôn khổ Ethereum có khả năng cho phép các tác nhân xấu tạo ra một lượng lớn GasToken khi nhận ETH.
Trong một blogpost được xuất bản vào ngày 21/11, công ty tiết lộ rằng điểm yếu đã được gắn cờ cho hầu hết các sàn giao dịch có nguy cơ bị ảnh hưởng bởi các bản vá lỗi phần mềm.
Điểm yếu bảo mật của GasToken
Lỗ hổng phát sinh khi ETH được gửi đến một địa chỉ, sau đó có thể thực hiện các tính toán tùy ý mà người khởi tạo giao dịch thanh toán – hành động của một tác nhân xấu được thiết kế để gây thiệt hại cho người dùng mạng. Theo lý thuyết, kẻ tấn công sẽ có thể tạo ra một người khởi tạo giao dịch, chẳng hạn như một khoản thanh toán giao dịch cho một lượng tính toán tùy ý nếu sàn giao dịch không có sự bảo vệ như giới hạn gas tại chỗ.
Bằng cách tạo một lượng lớn GasToken trong khi nhận ETH, do đó, nó sẽ tạo lợi nhuận cho một tác nhân xấu, ít nhất là về lý thuyết.
Hơn nữa, rủi ro không chỉ giới hạn ở ETH, mà còn bao gồm tất cả các token dựa trên Ethereum, chẳng hạn như các token được xây dựng trên các tiêu chuẩn ERC-721 và ERC-20. Trong quá trình thực hiện call hợp đồng để thực hiện giao dịch, các sàn giao dịch không đặt ra giới hạn gas cho các giao dịch với các token này có thể sẽ phải trả một lượng tiền lớn và chịu số phận tương tự.
Một trích đoạn từ tài liệu được công bố bởi Level K giải thích mối đe dọa bằng cách sử dụng một nghiên cứu trường hợp nghiên cứu giả định như sau:
“Trong kịch bản khai thác đơn giản nhất, Mai điều hành một sàn giao dịch mà Trung muốn gây hại. Trung có thể bắt đầu rút tiền chuyển đến địa chỉ hợp đồng mà anh ta kiểm soát với chức năng dự phòng tính toán chuyên sâu. Nếu Mai đã quên thiết lập một giới hạn gas hợp lý, cô sẽ phải trả phí giao dịch từ ví nóng của mình. Với giao dịch vừa đủ, Trung có thể rút tiền của Mai. Nếu Mai không thực thi chính sách xác minh danh tính khách hàng (KYC), Trung có thể tạo nhiều tài khoản để phá vỡ giới hạn rút tiền của một tài khoản. Ngoài ra, nếu Trung cũng muốn tạo ra lợi nhuận, anh ta có thể tạo GasToken trong chức năng dự phòng của mình và kiếm tiền trong khi khiến ví của Mai cạn kiệt”.
Theo Level K, các sàn giao dịch có thể bị ảnh hưởng bởi lỗ hổng được thông báo riêng vào ngày 13/11 và bởi vì không thể nói chính xác cái nào không có sự bảo vệ tại chỗ, thông báo này được gửi tới nhiều sàn giao dịch nhất có thể, tất cả hiện đã triển khai các bản vá để khắc phục sự cố.
Level K cũng đã công bố thêm thông tin và một bản tóm tắt đầy đủ về mối đe dọa và những hành động được thực hiện tại đây.
Theo TapchiBitcoin.vn/CCN
Xem thêm:
Nguyên nhân nào gây ra đợt giảm giá Bitcoin lớn nhất trong năm?
Phân tích kỹ thuật: Bitcoin, Ripple, Ethereum, Bitcoin Cash, DASH, NEM
Giám đốc điều hành Blockstream dự đoán giá Bitcoin có thể đạt 500 ngàn đô la
