1. 链一财经首页
  2. 资讯

以太坊又一漏洞被发现,交易转账时可能耗费大量Gas

在11月21日发表的一篇博客文章中,以太坊智能合约和DApp开发团队Level K声称发现了以太坊框架中存在的漏洞,该漏洞可能导致用户交易转账时耗费大量的Gas。该公司透露,大多数处于风险中的交易所都注意到了这一漏洞,自那以后,这些交易所通过安装软件补丁来遏制这种威胁。

以太坊又一漏洞被发现,交易转账时可能耗费大量Gas

当ETH被发送到一个地址时,该地址就会出现漏洞,然后该地址就能够执行事务发起者支付的任意打包行为,这就带来了“可怕”的风险——作恶者的行为,旨在对网络用户造成损害。从理论上讲,如果交易所没有Gas限制等保护措施,攻击者将能够让交易发起者(如交易所)支付任意数量的打包费用。

通过在接收ETH的同时制造大量的Gas,至少在理论上,这样一种恶意攻击对一个心怀不轨者来说是有利可图的。更重要的是,这种风险不仅限于ETH,还包括所有基于以太坊的令牌,比如那些构建在ERC-721和ERC-20标准上的令牌。在执行合同调用以实现传输的过程中,不为使用这些令牌的交易设置Gas限制的交易所最终可能会支付大量打包费用。

Level K发表了一篇文章,用一个假设的案例研究来解释这种威胁,节选如下:“在最简单的利用场景中,Alice发起一笔交易,Bob想要破坏它。Bob可以通过一个计算密集型的回退函数将提款指向到他所控制的合同地址。如果Alice忘记设定一个合理的Gas上限,她就会从她的热钱包里支付交易费用。如果有足够多的交易,Bob就可以耗尽Alice的资金。如果Alice未执行Know Your Customer (KYC)策略,Bob还可以创建多个帐户来规避单帐户提款限制。另外,如果Bob还想赚钱,他可以在他的备用功能中添加GasToken,在赚钱的同时让Alice的钱包耗尽。”

根据Level K提供的信息,他们已于11月13日私下通知可能受此漏洞影响的交易所,由于无法准确说明哪些交易没有得到保护,因此该通知被发送给尽可能多的交易所,所有交易所都有实施补丁来解决问题。

Level K还发布了进一步的信息,完整地列出了威胁和采取的行动。

文章声明:本文为火星号作者作品,不代表火星财经观点,版权归作者所有,如需转载,请提前联系作者!

根据国家《关于防范代币发行融资风险的公告》,大家应警惕代币发行融资与交易的风险隐患。

本文来自LIANYI转载,不代表链一财经立场,转载请联系原作者。

发表评论

登录后才能评论

联系我们

微信:kkyves

邮件:kefu@lianyi.com

时间:7x24,节假日bu休息

QR code