8455新澳门路线网址-澳门新葡萄京开户注册

鸵鸟区块链

以太坊代币恶意铸币攻击

链安科技 2018-12-10 16:56
摘要:

潜在的GasToken安全漏洞

以太坊代币恶意铸币攻击

以太坊智能合约及DApp开发者Level K发现了一种存在于以太坊架构内部的漏洞,该漏洞允许恶意用户在收取ETH时增发大量的GasToken(什么是GasToken:https://gastoken.io/)。

在11月21号的一篇博文中,有关企业透露该漏洞已经提交给最受威胁的交易所,交易所方面已经采取措施控制风险。

潜在的GasToken安全漏洞

漏洞发生于ETH转入一个地址的过程中,这个地址可以进行由交易发起者支付的任意数额算力。同时带来的威胁还有“恶意破坏”——一种破坏用户网络的恶意行为。从理论上来说,在交易所没有gas上限保护的情况下,攻击者能够发起一个交易,比如任意数额的算力交易支付。

通过在接收ETH的过程中增发大量GasToken,攻击者在理论上可能获取非常可观的利润。

另外,此漏洞并不仅限于ETH,还威胁到所有以太坊平台上的代币,比如那些按照ERC-721和ERC-20标准发布的代币。在合约调用发起转账的过程中,交易所如果不设定gas上限将可能导致这些代币需要支付数额高昂的算力。

以太坊代币恶意铸币攻击

Level K本人对于此漏洞一个假设实验的说明中,对于漏洞本身是这么描述的:

假设最简单的一个漏洞攻击场景,Alice运作着一家交易所,Bob想要采取进攻。Bob可以使用“集约计算回退函数”向一个他自己控制的合约地址发起提取操作。

如果Alice没有设定一个合理的gas上限,她将要用她的热钱包支付转账费用。在转账次数足够的情况下,Bob可以将Alice的钱包“榨干”。

如果Alice无法实行KYC(Know Your Customer)政策,Bob可以创建多个账户绕过单账户提取限制。另外,如果Bob想赚取一笔利润,他可以在他自己的回退函数中增发GasToken,在“榨干”Alice钱包的同时赚钱。

据Level K本人说,可能受到此漏洞攻击的交易所在13号已经被私信通知了,由于无法判断哪些交易所一定暗藏此漏洞,所以私信通报发给了尽可能多的交易所,这些交易所目前都进行了漏洞修复。

来源:链安科技(ID:LiananTech)

编译:链安科技外文翻译

原文来源:https://www.ccn.com/ethereum-token-hit-by-malicious-minting-attack/ 

声明: 鸵鸟区块链所有发布内容均为原创或授权发布,如需转载,请务必注明文章编辑以及来源:鸵鸟区块链(微信公众号:MyTuoniao),任何不敬重原创的行为鸵鸟区块链都将进行责任追究!鸵鸟区块链报道和发布内容,不构成任何投资建议。

链安科技

让区块链更安全。

58 篇 作品

8455新澳门路线网址|澳门新葡萄京开户注册

XML 地图 | Sitemap 地图