В системе Ethereum обнаружена уязвимость

Компания-разработчик децентрализованных приложений Level K сообщила об уязвимости в работе смарт-контрактов на базе Ethereum, которая потенциально позволяет мошенникам даже получать прибыть от атак.

Проблема возникает в процессе отправки ETH на адрес, который затем способен совершать произвольные вычисления, оплачиваемые за счет инициатора транзакции. С помощью этой уязвимости атакующий может нанести ущерб пользователям сети и биржам, в рабочих смарт-контрактах которых не установлены лимиты или защита от подобных махинаций. Потенциально злоумышленник может не только истощить кошелек владельца, но и заработать на этом.

Суть атаки заключается в том, что хакер, желающий навредить оператору, инициирует вывод на адрес контролируемого им смарт-контракта. Если оператор не позаботился об установке ограничений на газ, то он будет оплачивать комиссию за все транзакции из собственного кошелька. При осуществлении определенного числа переводов, злоумышленник может полностью опустошать счет владельца. В случае отсутствия у оператора системы KYC, атакующий может обойти ограничения на снятие средств с одной учетной записи. Хакер даже может получить прибыть, производя GasToken и зарабатывая на этом.

По словам разработчиков, риску подвержены не только операции с ETH, но и со всеми токенами ERC-721 и ERC-20. Компания сообщила всем биржам о потенциальной угрозе еще 13 ноября, а публично опубликовала информацию 21 числа, чтобы операторы успели внести изменения.

В последнее время Ethereum переживает не самые лучшие времена. Исследование показало, что из-за падения курса монеты с ноября месяца ETH на GPU перестал быть рентабельным.