Un bug scoperto il mese scorso potrebbe aver svuotato potenzialmente gli account di scambio contenenti token digitali utilizzati per alimentare l'applicazione distribuita Golem basata su ethereum.

Tuttavia, a causa della natura del bug, potrebbe anche essere stato utilizzato su altri token ethereum elencati nello scambio. Questo perché ha utilizzato lo standard ERC-20 della piattaforma, una caratteristica che ha vinto sostenitori nel settore degli scambi grazie alla sua capacità di ridurre il tempo necessario agli scambi per aggiungere nuove monete.

Tuttavia, un sostenitore di Golem e un detentore di GNT hanno trovato il bug il 18 marzo e lo hanno segnalato al team di sviluppatori prima che potesse essere utilizzato maliziosamente.

Il problema che è venuto alla luce deriva dal modo in cui gli scambi preparano i dati per le transazioni e da come Solidity (il linguaggio ethereum smart contracting) codifica e decodifica i dati della transazione, secondo l'ingegnere di Golem Factory Pawel Bylica, che ha pubblicato un rapporto sul problema.

Secondo la sua valutazione, il servizio che ha preparato i dati per i trasferimenti di token presuppone un input di indirizzo di 20 byte, ma in realtà non ha verificato che l'input fosse della lunghezza corretta.

Di conseguenza, una lunghezza più breve dell'indirizzo ha causato lo spostamento della quantità della transazione verso sinistra, aumentando così il suo valore.

L'utente del Golem ha riportato una transazione "strana" che ha ottenuto così tanto valore da poter svuotare l'intero account GNT di scambio, secondo il post di Bylica. In realtà, ha solo ragione che questo non è accaduto, ha detto, è che il numero era così grande che è stato impossibile per lo scambio per completarlo.

Il bug è stato corretto e il team di Bylica ha notificato altri scambi della potenziale vulnerabilità.

'Scioccato e terrorizzato'

Tuttavia, i timori erano ancora alimentati dal bug, dato che avrebbe potuto essere ampiamente applicabile ad altri scambi usando i token ERC-20.

Sebbene il team di Bylica non abbia verificato l'esistenza di questa vulnerabilità in altri scambi, ha menzionato che i potenziali svantaggi erano seri.

"Siamo rimasti scioccati e un po 'terrorizzati nel rendersi conto delle potenziali conseguenze di qualcuno che si avvale di quel bug per più token su più piattaforme", ha scritto Bylica.

Fortunatamente, alcune correzioni proposte sono relativamente semplici da implementare.

"Semplicemente controllando la lunghezza di un indirizzo fornito da un utente protegge [scambi] dall'attacco descritto", scrisse Bylica.

Reazioni di Reddit

La reazione su Reddit è variata da lieve indignazione ai dibattiti sulla responsabilità degli scambi di fornire maggiore sicurezza.

"Questa è roba di base", ha scritto l'utente BullBearBabyWhale. "Sono ancora una volta stupito di quanto il business serio in questo spazio (che riguarda la sicurezza) non lo prenda sul serio."

Per chi lo stoccaggio pedine Ethereum-based, tra cui ERC-20 gettoni, in una borsa, Reddit utente 1up8192 consigliabile arrivare ai fornitori di servizi per vedere se avevano controllato per la vulnerabilità.

" Chiedere al cambio se sanno della possibilità di iniezione e se hanno risolto il problema ", hanno scritto.

Immagine del codice del computer tramite Shutterstock