En feil oppdaget i forrige måned kunne ha potensielt tømt utvekslingskontoer med digitale tokens som brukes til å drive den ethereumbaserte distribuerte applikasjonen Golem.

På grunn av arten av feilen, kunne den imidlertid også vært brukt på andre eterum tokens listet på utvekslingen. Det er fordi det brukte plattformens ERC-20-standard, en funksjon som har vunnet talsmenn i valutasektoren på grunn av sin evne til å redusere tiden det tar utveksling for å legge til nye mynter.

En Golem-supporter og en GNT-holder fant feilen den 18. mars og rapporterte det til utviklerlaget før det kunne brukes ondsinnet.

Problemet som oppstod, stammer fra hvordan utvekslingene forbereder dataene for transaksjoner og hvordan Solidity (eterum smart contracting language) koder og avkoder transaksjonsdataene, ifølge Golem Factory-programvareingeniør Pawel Bylica, som publiserte en rapport om utgave.

Ifølge sin vurdering utførte tjenesten som utarbeidet dataene for token-overføringer en 20-byte lang adresseinngang, men kontrollerte faktisk ikke for å sikre at inngangen var den riktige lengden.

Som følge av dette førte en kortere adresselengde transaksjonsbeløpet til forskyvning til venstre, og økte dermed verdien.

Golem-brukeren rapporterte en "merkelig" transaksjon som fikk så mye verdi at den kunne ha tømt hele utvekslings GNT-kontoen, ifølge Bylicas innlegg. Faktisk er det bare grunnen til at dette ikke skjedde, sa han, at tallet var så stort at det var umulig for utvekslingen å fullføre den.

Feilen er nå løst, og Bylicas team har meldt om andre utvekslinger av potensiell sårbarhet.

"Sjokkert og skremt"

Likevel var frykten fortsatt stoked av feilen, gitt at det kunne vært bredt anvendelig for andre utvekslinger ved hjelp av ERC-20 tokens.

Selv om Bylicas lag ikke har bekreftet eksistensen av dette sårbarheten på andre utvekslinger, nevnte han at potensielle ulemper var alvorlige.

"Vi var sjokkert og litt redd for å innse de potensielle konsekvensene av at noen benyttet seg av denne feilen for flere tokens på flere utvekslinger," skrev Bylica.

Heldigvis er noen foreslåtte reparasjoner relativt enkle å implementere.

"Bare å sjekke lengden på en adresse som en bruker sørger for, sikrer [utveksling] fra det angitte angrepet," skrev Bylica.

Reddit-reaksjoner

Reaksjonen på Reddit varierte fra mild opprør til debatter om utvekslinges ansvar for å gi bedre sikkerhet.

"Dette er grunnleggende ting," skrev bruker BullBearBabyWhale. "Jeg er en gang forbauset over hvor alvorlig virksomhet i dette rommet (som handler om sikkerhet) ikke tar det på alvor."

For de som lagrer ethereumbaserte tokens, inkludert ERC-20-tokens, på en bytte, anbefalte Reddit-brukeren 1up8192 å nå ut til tjenesteleverandørene for å se om de hadde sjekket for sikkerhetsproblemet. hvis de vet om muligheten for injeksjon, og hvis de løste problemet, skrev de.

Datakodebilde via Shutterstock