Token di Ethereum colpiti da attacchi malintenzionati di coniazione

L’Ethereum Smart contract e lo sviluppatore di dApp Level K hanno scoperto l’esistenza di una vulnerabilità all’interno del framework Ethereum che potenzialmente consente ai malintenzionati di battere grandi quantità di GasToken quando ricevono ETH.

In un post pubblicato il 21 novembre, la società ha rivelato che la debolezza è stata segnalata alla maggior parte degli exchange a rischio che da allora hanno effettuato patch nei software per contenere la minaccia.

La vulnerabilità insorge quando ETH viene inviato a un indirizzo, che è quindi in grado di eseguire calcoli arbitrari su cui paga l’originatore della transazione, che comporta un rischio di “griefing” – un’azione da parte di qualcuno in malafede progettata per causare danni a utenti della rete. In teoria, un utente malintenzionato sarebbe in grado di originare transazioni come mezzo di scambio per una quantità arbitraria se l’exchange non ha protezioni.

Coniando grandi quantità di GasToken mentre ricevevano ETH, sarebbe quindi possibile, almeno in teoria, che un tale attacco diventi redditizio per un malintenzionato.

Inoltre, il rischio non è limitato all’ETH, ma include anche tutti i token basati su Ethereum come quelli basati sugli standard ERC-721 e ERC-20. Nel corso dell’esecuzione di appelli contrattuali per effettuare trasferimenti, gli scambi che non stabiliscono un limite di gas per le transazioni con questi token possono finire per pagare enormi somme di calcolo e subire un destino simile.

Un estratto dal materiale pubblicato da Level K che spiega la minaccia utilizzando un caso di studio ipotetico e recita come segue:

“Nello scenario più semplice, Alice gestisce uno exchange, che Bob vuole danneggiare. Bob può avviare prelievi a un indirizzo di contratto che controlla con una funzione di fallback computazionalmente intensa. Se Alice ha trascurato di fissare un limite di gas ragionevole, pagherà le spese di transazione dal suo portafoglio. Dato un numero sufficiente di transazioni, Bob può svuotare i fondi di Alice. Se Alice non riesce a far rispettare le politiche di Know Your Customer (KYC), Bob può creare numerosi account per aggirare i limiti di prelievo di un singolo account. Inoltre, se anche Bob vuole ottenere un profitto, può accumulare GasToken nella sua funzione di fallback e fare soldi mentre il portafoglio di Alice si svuota. ”

In accordo con Level K, gli exchange potenzialmente interessati dalla vulnerabilità sono stati notificati privatamente il 13 novembre e, poiché non è stato possibile stabilire con esattezza quali non avevano protezioni, questa notifica è stata inviata al maggior numero possibile di exchange, che ora hanno implementato le patch per risolvere il problema.

Fonte: ccn.com