Ethereum [ETH] golpeado por un ataque de acuñación de GasTokens malicioso

Ethereum golpeado por un ataque de acuñación de GasTokens malicioso
Tabla de Contenidos

Level K, un desarrollador de Smart Contracts y aplicaciones descentralizadas basadas en ETH, descubrió una vulnerabilidad de Ethereum [ETH] que esencialmente podría permitir a un atacante acuñar grandes cantidades de GasToken cuando recibe ETH.

La vulnerabilidad anunciada ayer en una publicación de blog se descubrió el 30 de octubre, pero fue anunciada ayer después de que Level K hiciera suficientes investigaciones para notificar a las partes vulnerables que son principalmente los intercambios de criptomonedas a los que afectan las transferencias de tokens basados ​​en Ethereum y ETH, como los basados en los estándares ERC-20 y ERC-721. Según el anuncio, la vulnerabilidad también afecta a las cadenas de bloques de Ethereum Classic y EVM, así como la red POA.

La vulnerabilidad se puede describir en términos simples como un fallo por parte de los remitentes de tokens y monedas para establecer límites de Gas apropiados que podrían provocar el abuso por parte de los atacantes. Al explicar la vulnerabilidad, de acuerdo con Level K, la vulnerabilidad podría utilizarse de dos maneras para beneficiar a un usuario malicioso:

«Un atacante puede realizar el cálculo en la función de respaldo de un contrato que recibe Ethereum del intercambio, o en la funcionalidad de transferencia de un token listado en el intercambio. Con la capacidad de hacer que el intercambio pague grandes cantidades de cómputo, un atacante puede drenar la billetera caliente de la bolsa (simplemente quemando Gas) o acuñar GasToken para obtener una posible ganancia».

ETH tokens

Level K utiliza el siguiente extracto de ejemplo:

“En el escenario de explotación más simple, Alice ejecuta un intercambio, que Bob quiere dañar. Bob puede iniciar retiros a una dirección de contrato que controla con una función de respaldo computacional intensiva. Si Alice se ha negado a establecer un límite de Gas razonable, pagará las tarifas de transacción de su billetera caliente. Dadas las suficientes transacciones, Bob puede drenar los fondos de Alice. Si Alice no aplica las políticas de Conozca a su cliente (KYC), Bob puede crear numerosas cuentas para eludir los límites de retiro de una sola cuenta. Además, si Bob también quiere obtener ganancias, puede acuñar GasToken en su función de respaldo, y ganar dinero mientras hace que la billetera de Alice se agote «.

Algunos no llamarían a esto una vulnerabilidad, sino un error en cualquiera de las partes que está afectando una transacción. Sin embargo, si se explota, podría llevar a pérdidas tremendas para la víctima. De acuerdo con el Level K, la advertencia no solo estaba dirigida a los intercambios de criptomonedas, sino también a personas que podrían enviar criptomonedas a direcciones de contratos inteligentes sin leer el código del contrato.

En el anuncio de la publicación del blog, Level K había contactado con una gran mayoría de intercambios de criptomonedas la semana pasada para asegurarse de que habían solucionado la vulnerabilidad antes de hacer público el descubrimiento. En el momento del anuncio, el Level K informó que todos estos intercambios habían respondido a la notificación de advertencia y habían solucionado la vulnerabilidad.

RELATED POSTS

Síguenos en Redes

Cripto Tutoriales

Cripto Reviews

Ads