Компания Level K, которая занимается разработкой приложений в экосистеме Ethereum, раскрыла подробности уязвимостей в протоколе криптовалюты.

Атака, которую уже назвали «вектор вредительства», эксплуатировала возможность осуществления случайных вычислений адресом для отправки монет Ethereum.

This issue also affects other systems that transfer funds to users. If you think your system may be affected, please DM @trailofbits or @levelk_io

— Level K (@levelk_io) 9 ноября 2018 г.

Монетизация данной уязвимости осуществлялась через минтинг GasToken, привязаных к стоимости газа в экосистеме Ethereum.

На инициатора транзакций перекладывалась оплата действий. Таким образом, все криптовалютные биржи, проигнорировавшие элементарное правило установки лимитов на газ, попали в зону риска мошенников.

Кроме Ethereum, атаке «вектора вредительства» были подвержены токены стандарта ERC-20 и ERC-721. Злоумышленники путём сжигания газа могли лишить “горячий кошелек” криптобиржи довольно существенных средств и, таким образом, нажиться на уязвимости.

На сегодня все торговые площадки, получившие уведомление от команды разработчиков, внедрили разработанные меры безопасности: в частности, установили «обоснованный» лимит газа и переложили затраты дорогостоящих вычислений на пользователей.