شبكة الاثيريوم وجدت فيها ثغرة رمز معرضة للاستغلال من قبل الاشخاص ذوي النيات السيئة

شبكة الاثيريوم وجدت فيها ثغرة رمز معرضة للاستغلال من قبل الاشخاص ذوي النيات السيئة

كشفت شبكة الاثيريوم عن العقد الذكي و مطور تقنية dApp من المستوى K وجود ثغرة في إطار الاثيريوم مما يسمح للجهات الفاعلة السيئة بإنتاج كميات كبيرة من غاز التوكين عند تلقي عملة الاثيريوم.

ثغرة رمز في شبكة الاثيريوم معرضة للهجوم

ثغرة رمز في شبكة الاثيريوم معرضة للهجوم من قبل القراصنة

في إحدى المدونات المنشورة في 21 نوفمبر / تشرين الثاني ، كشفت الشركة عن أن الضعف قد تم الإشارة إليه في معظم البورصات المعرضة للخطر،والتي عملت منذ ذلك الحين على إنتاج بقع برمجية لاحتواء التهديد.

احتمال وجود ضعف امني في غاز التوكين GasToken

تنشأ هذه الثغرة عندما يتم إرسال عملة الاثيريوم إلى عنوان ما،والذي يكون قادرًا بعد ذلك على إجراء حسابات عشوائية من التي يدفعها صاحب المعاملة،والتي تأتي مع خطر ” griefing” إجراء من قبل شخص سيئ النية يكون مصمم كي يتسبب في ضرر لمستخدمي الشبكة.

من الناحية النظرية،يمكن أن يكون المهاجم قادرا على جعل منشأ المعاملة مثل أجر الصرف لمبلغ حساب تعسفي إذا كان التبادل لا يوجد لديه حماية مثل الغاز المحدد في المكان.

من خلال تسريب كميات هائلة من غاز التوكين  GasToken أثناء تلقي عملة الاثيريوم،سيكون من الممكن على الأقل نظريًا أن يصبح مثل هذا الهجوم من griefing مربحًا للشخص السيء.

وما هو أكثر من ذلك،لا يقتصر الخطر على عملة الاثيريوم فقط،بل يشمل أيضا جميع الرموز التي تستند على الاثيريوم مثل تلك المبنية على معايير ERC-721 و ERC-20،في سياق إجراء مكالمات العقود لتنفيذ التحويلات،يمكن أن يؤدي التبادل الذي لا يحدد حدود الغاز للمعاملات مع هذه الرموز إلى دفع مبالغ هائلة في الحسابات المستهذفة.

مثال لحالة تهديد بهذه الثغرة على شبكة الاثيريوم

في ما يلي مقتطفات من المواد المنشورة في المستوى K توضح التهديد باستخدام دراسة حالة افتراضية كما يلي:

“في أبسط سيناريو لاستغلال هذه الثغرة،اليس تريد عمل تبادل،ويريد بوب أن يلحق بها ضررًا،يمكن لـ Bob بدء عمليات السحب إلى عنوان العقد الذي يتحكم فيه باستخدام وظيفة احتياطي مكثفة،إذا أهملت أليس تحديد حد معقول للغاز،فسوف تدفع رسوم المعاملات من محفظتها الساخنة،نظرًا لما يكفي من المعاملات،يمكن لبوب أن يستنزف أموال أليس،إذا أخفقت أليس في تطبيق سياسات اعرف عميلك (KYC)،فيمكن لـ Bob إنشاء العديد من الحسابات للتحايل على حدود السحب من حساب واحد،بالإضافة إلى ذلك،إذا كان بوب يريد أيضًا تحقيق ربح،يمكنه أن ينقد GasToken في وظيفته الاحتياطية،ويجني المال بينما يتسبب في نزول محفظة اليس. ”

وفقًا لـلمستوى K،تم الإبلاغ عن المعاملات التي من المحتمل أن تتأثر بالثغرة بشكل خاص في 13 تشرين الثاني،ولأنه لم يكن من الممكن تحديد العناصر التي لا توجد بها حماية،فقد تم إرسال هذا الإشعار إلى أكبر عدد ممكن من المعاملات،وكلهم نفذت الآن المهام لإصلاح المشكلة.

ما رأيكم بهذه الثغرة المحتملة في شبكة الاثيريوم ؟ارجوا ترك تعليقك اسفل المقال

من موقع cryptoarabe.com

 

التعليقات

WORDPRESS: 0
DISQUS: 0
Loading data ...
Comparison
View chart compare
View table compare