以太币:交易平台存在漏洞,发现及时幸免遭窃

3月18日,基于以太坊的分布式应用程序“制造工厂”(Golem Factory)发现一个系统漏洞,如果被恶意利用,这个漏洞可能会清空支撑这个以太坊应用的账户中所有的以太币(一种以太坊代币)。

所幸,“制造工厂”的用户发现了这个漏洞,并及时将其报告给这个团队的开发者,所以并未造成以太币失窃。随后,“制造工厂”的软件开发师卡维尔·贝利卡(Pawel Bylica)就这个问题发布了一个报告,称问题来自于交易平台准备交易数据的方式,以及Solidity语言(以太坊的智能合约语言)编码和解码交易数据的方式。

根据他的鉴定,为以太币交易准备数据的服务器预设的是需要输入一个20字节长的地址,但实际上并没有检查输入的地址的长度。因此,若输入长度不足20位的地址则会导致交易量向左移动,从而增加其价值。

这个漏洞目前已被修复,但由于这种ERC-20标准因其便利性被各交易平台广泛使用,贝利卡的团队还提醒其他交易平台要注意这个潜在漏洞。

“震惊和恐惧”

然而,由于其他使用ERC-20代币的交易所可能也会存在漏洞,整个市场依然人心惶惶。

虽然贝利卡的团队并没指出其他交易所存在这种漏洞,但他说这种潜在的漏洞问题一旦发生会很严重。他写道:“一想到如果有人在多个交易平台上恶意利用这个漏洞带来的后果,我们就觉得很震惊,很后怕。“

好消息是,针对此漏洞的一些修复方案相对来说比较简单。只需检查用户提供的地址的长度,就可以确保交易不受攻击。

Reddit上网民的反应

Reddit上网民对此的反应各不相同,有人有些许愤怒,也有人对交易所应该提供更强的安全性保障展开了激烈讨论。

用户BullBearBabyWhale写道,“这是最基本的。我的三观再次被刷新了,在安全性大于天的这个领域,业内公司居然没有对安全性问题引起足够重视。”

对于在交易平台存储了以太币和ERC-20代币的人,Reddit用户1up8192则建议应与服务提供商联系,以确认服务商已检查了该漏洞。

本文由 区块链技术网 作者:陈琳 发表,其版权均为 区块链技术网 所有,文章内容系作者个人观点,不代表 区块链技术网 对观点赞同或支持。如需转载,请注明文章来源。