Ethereum é atingido por ataque malicioso para obter tokens Gas
Vulnerabilidade da plataforma Ethereum poderia ter causado problemas para exchanges
O desenvolvedor de smart contract e dApp na plataforma Ethereum, Level K, descobriu a existência de uma vulnerabilidade na rede que potencialmente permite que pessoas mal intencionadas recebam grandes quantidades de GasToken ao receberem ETH.
Em uma postagem publicada ontem, a companhia revelou que a brecha marcada com alto risco e, desde então, as exchanges já fizeram correções para conter a ameaça.
Falha de segurança envolvendo GasToken
A vulnerabilidade surge quando ETH são enviadas para um endereço, sendo possível então realizar computações arbitrárias pelas quais o originador da transação paga, abrindo a possibilidade para um griefing – uma ação que uma figura mal intencionada pode realizar para causar dano aos usuários da rede. Em teoria, um atacante poderia realizar uma transação, como um pagamento em uma exchange por uma quantia arbitrária, caso a plataforma não tenha proteções, como limitações à quantidade de gas.
Ao receber grandes quantidades de GasToken junto com ETH, é possível, em teoria, que esse ataque de griefing se torne lucrativo para o atacante.
Ademais, o risco não se limita à ETH, incluindo também todos os tokens baseados em Ethereum, como os padrões ERC-721 e ERC-20. Exchanges que não limitam as quantidades de gas nas transações podem acabar pagando vastas quantidades de computação.
Um trecho do material publicado por Level K explica a ameaça utilizando um caso de estudo hipotético:
“No caso mais simples de exploração desta falha, Alice tem uma exchange que Bob deseja lesar. Bob pode iniciar saques no endereço de um contrato que ele controle com uma função computacional intensivamente deficitária. Se Alice não colocou um limite razoável de tokens gas, ela pagará as taxas transacionais com sua carteira quente. Com transações suficientes, Bob pode drenar os fundos de Alice. Se Alice falhar em empregar políticas Know Your Customer, Bob pode criar diversas contas para burlar os limites de saque em uma única conta. Além disso, se Bob também quiser lucrar, ele pode obter o token Gas, fazendo dinheiro drenando a carteira de Alice.”
De acordo com Level K, exchanges potencialmente afetadas pela vulnerabilidade foram notificadas privadamente no dia 13 de novembro e, pela impossibilidade de dizer exatamente quais tinham proteções, essa notificação foi enviada para diversas exchanges, que já implementaram as correções para solucionar o problema.
Level K também publicou mais informações e uma explicação completa sobre a ameaça e ações tomadas.
Fonte: CCN