安全公司：以太坊框架中存在漏洞，攻擊者或可獲取交易所全部ETH

據CCN 11月22日報道，以太坊智能合約和dApp開發者Level K發現以太坊框架中存在一個漏洞，攻擊者可以利用該漏洞在接收ETH時鑄造大量GasToken。

在11月21日發表的一篇博客文章中，該公司透露，大多數高風險交易所都注意到了這個漏洞，這些交易所自那時起就就實施了軟體補丁升級以遏制這一威脅。

潛在的GasToken安全漏洞

當發送ETH到某個地址時，該漏洞就會顯露出來。接收地址隨後就可以執行交易發起者支付的任意運算，從而帶來了破壞性的風險，惡意行為者的這種行為的目的是對網路用戶造成損害。從理論上講，如果交易所沒有gas限制等保護措施，攻擊者將能夠讓交易發起者(如交易所)支付任意數量的計算費用。

因此，通過在接受ETH的同時鑄造大量的GasToken，至少在理論上，這種破壞性的攻擊對攻擊者來說是有利可圖的。

而且，此類風險不僅限於ETH，還包括所有基於以太坊的代幣，例如構建在ERC-721和ERC-20標準上的代幣。在執行合約調用以實現轉賬的過程中，如果交易所在進行此類代幣交易時沒有設置gas限制，它們最終可能會遭受同樣的命運並支付大量計算費用。

Level K發表的一篇文章中用一個假設的案例研究解釋了這種威脅，現節選如下：

「舉一個利用該漏洞的最簡單的例子，Alice運行一家交易所，Bob想要攻擊它。Bob可以使用計算密集型回退功能向其控制的合約地址發起提款。如果Alice忘記設定一個合理的GAS上限，她就會從她的錢包里支付交易費用。如果有足夠多的交易，Bob可以抽走愛麗絲的資金。如果Alice沒有執行KYC策略，Bob可以創建多個帳戶來規避單個帳戶的取款限制。另外，如果Bob還想賺錢，他可以在他的回退功能中鑄造GasToken，在賺錢的同時將Alice的錢包洗劫一空。」

根據Level K的說法，它在11月13日私下通知了可能受該漏洞影響的交易所，因為無法確切地說哪些交易所沒有提供保護，所以該通知被發送到了儘可能多的交易所，所有這些交易所都已經實施了補丁升級來解決這個問題。

Level K還就如何完全消除並控制威脅發布了更多細節信息。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！