Ethereum akıllı sözleşmeleri ve dApp (merkeziyetsiz uygulama) geliştiricisi Level K, Ethereum ağında bazı kötü niyetli kişilerin ETH alırken büyük miktarda ETH tabanlı GasToken üretebilmesine olanak tanıyan bir güvenlik açığı olduğunu su yüzüne çıkardı.
Dün paylaşılan bir blog yazısını göre, bu durumu fark eden bazı borsalar, GasToken ile alakalı bu problemi gidermek için yazılım yamaları uygulamış.
Bu açık bir yerden başka bir yere ETH gönderildiğinde açığa çıkıyor ve kötü niyetli kişi, işlemi yapan kullanıcıyı veya borsayı eğer herhangi bir gas limiti belirlememişlerse keyfi bir ödemeye borçlu kılabiliyordu.
Dahası bu risk sadece ETH ile sınırlı değil. Ethereum tabanlı ERC-20 ve ERC-721 altyapısını kullanan bütün tokenlar’ı da kapsıyor. Bu token’larla gas limiti koymadan işlem yapan borsalar da yüklü miktarlarda işlem ücreti ödemeye maruz kalabilir ve benzer bir kaderi yaşayabilir.
Level K bu tehdidi varsayımsal bir dil kullanarak şöyle açıkladı:
“En basit istismar senaryosunu düşünelim. Alice bir borsa işletiyor. Bob da buna zarar vermek istiyor. Bob ‘fallback’ fonksiyonuyla kontrol ettiği ve kendisinin yönettiği bir adrese para çekme işlemi başlatabilir. Eğer Alice gas limiti koymayı ihmal ettiyse çevrimiçi cüzdanından işlem ücreti ödemek zorunda kalacaktır. Bob yeteri kadar işlem ile Alice’nin bütün fonlarını tüketebilir. Eğer Alice KYC (Müşterini Tanı) politikasını uygulamıyorsa Bob, tek hesap para çekim limitlerinden kurtulmak için çok sayıda hesap açabilir. Ayrıca, eğer Bob kar etmek istiyorsa ‘fallback’ fonksiyonuyla GasToken üretebilir ve Alice’nin fonlarını tüketirken bir yandan da para kazanabilir.”
Level K ayrıca, çok sayıda borsanın bu konu hakkında özel olarak bilgilendirildiğini ve onların da bu durumu çözmek için yamalar uyguladıklarını söyledi.
Haber: CCN
→BU YATIRIMCILAR BİTCOİN’E ZİRVEDE TAM 40,000 DOLAR ÖDEMİŞLERDİ