Ein Bug, der letzten Monat entdeckt wurde, könnte möglicherweise Exchange-Konten geleert haben, die digitale Token enthalten, um die ethereum-basierte verteilte Anwendung Golem zu betreiben.

Aufgrund der Art des Fehlers könnte es jedoch auch auf anderen Ethereum-Tokens verwendet worden sein, die an der Exchange aufgelistet sind. Das ist, weil es den ERC-20-Standard der Plattform verwendet hat, eine Funktion, die Befürworter im Börsensektor gewonnen hat, weil sie die Zeit, die der Austausch benötigt, um neue Münzen hinzuzufügen, reduzieren konnte.

Ein Golem-Supporter und ein GNT-Halter haben den Fehler jedoch am 18. März gefunden und dem Entwicklerteam gemeldet, bevor es böswillig verwendet werden konnte.

Das Problem, das ans Licht kam, rührt daher, dass der Austausch die Daten für Transaktionen vorbereitet und wie Solidity (die ethereum smart contracting language) die Transaktionsdaten kodiert und decodiert, sagt Golem Factory Softwareingenieur Pawel Bylica, der einen Bericht über die Problem.

Nach seiner Einschätzung nimmt der Dienst, der die Daten für Token-Übertragungen vorbereitet hat, eine 20 Byte lange Adresseingabe an, hat aber nicht überprüft, ob die Eingabe die richtige Länge hat.

Als Ergebnis führte eine kürzere Adresslänge dazu, dass der Transaktionsbetrag nach links verschoben wurde, wodurch der Wert erhöht wurde.

Der Golem-Benutzer hat eine "seltsame" Transaktion gemeldet, die so viel Wert gewonnen hat, dass sie laut Bylicas Post den gesamten Austausch-GNT-Account geleert haben könnte. In der Tat, er sagte nur, dass dies nicht geschehen ist, sagte er, ist, dass die Zahl so groß war, dass es für den Austausch unmöglich war, es zu vollenden.

Der Fehler wurde behoben und das Team von Bylica hat weitere Austausche über die potenzielle Sicherheitslücke gemeldet.

"Schockiert und erschrocken"

Dennoch wurden die Ängste durch den Fehler noch verstärkt, da er auf andere Börsen, die ERC-20-Token verwendeten, allgemein anwendbar gewesen wäre.

Obwohl das Team von Bylica die Existenz dieser Schwachstelle an anderen Börsen nicht überprüft hat, erwähnte er, dass die potenziellen Nachteile ernst seien.

"Wir waren schockiert und ein wenig erschrocken, um die möglichen Konsequenzen zu erkennen, wenn jemand diesen Fehler für mehrere Token an mehreren Börsen ausnutzt", schrieb Bylica.

Glücklicherweise sind einige vorgeschlagene Korrekturen relativ einfach zu implementieren.

"Einfach die Länge einer von einem Benutzer angegebenen Adresse zu überprüfen, schützt [den Austausch] vor dem beschriebenen Angriff", schrieb Bylica.

Reddit-Reaktionen

Die Reaktion auf Reddit reichte von einer leichten Empörung bis hin zu Debatten über die Verantwortung der Börsen, für mehr Sicherheit zu sorgen.

"Das sind grundlegende Dinge", schrieb der Benutzer BullBearBabyWhale. "Ich bin wieder einmal erstaunt, wie ernstes Geschäft in diesem Bereich (in dem es um Sicherheit geht) es nicht ernst nimmt."

Für diejenigen, die Ethereum-basierte Token, einschließlich ERC-20-Token, an einer Börse speichern, empfahl Reddit-Benutzer 1up8192, die Service-Provider zu kontaktieren, um zu sehen, ob sie nach der Sicherheitslücke gesucht haben.

" Fragen Sie Ihren Austausch wenn sie von der Möglichkeit der Injektion wissen und wenn sie das Problem gelöst haben ", schrieben sie.

Computercodebild über Shutterstock