Share this article
Confira de bug na exchange evita roubo de token Ethereum
A Confira de um erro de codificação trouxe à tona um problema que pode colocar os tokens baseados em Ethereum mantidos em exchanges em risco de roubo.
By Elise Hansen
Updated Sep 11, 2021, 1:13 p.m. Published Apr 11, 2017, 11:00 a.m.
Torne-nos preferidos no Google
Um bug descoberto no mês passado pode ter esvaziado contas de exchanges que continham tokens digitais usados para alimentar o aplicativo distribuído baseado em ethereum Golem.
No entanto, devido à natureza do bug, ele também poderia ter sido usado em outros tokens Ethereum listados na exchange. Isso porque ele usou o padrão ERC-20 da plataforma, um recurso que ganhou defensores no setor de exchanges devido à sua capacidade de reduzir o tempo que as exchanges levam para adicionar novas moedas.
A História Continua abaixo
Don't miss another story.Subscribe to the Crypto Daybook Americas Newsletter today. See all newsletters
No entanto, um apoiador do Golem e um detentor do GNT encontraram o bug em 18 de março e o relataram à equipe de desenvolvedores antes que ele pudesse ser usado de forma maliciosa.
O problema que veio à tona decorre de como as bolsas preparam os dados para transações e como a Solidity (a linguagem de contratação inteligente do Ethereum ) codifica e decodifica os dados das transações, de acordo com o engenheiro de software da Golem Factory, Pawel Bylica, que publicou um relatóriosobre o assunto.
De acordo com sua avaliação, o serviço que preparou os dados para transferências de tokens assume uma entrada de endereço de 20 bytes, mas T verificou se a entrada tinha o comprimento correto.
Como resultado, um endereço menor fez com que o valor da transação fosse deslocado para a esquerda, aumentando assim seu valor.
O usuário do Golem relatou uma transação "estranha" que ganhou tanto valor que poderia ter esvaziado toda a conta GNT da exchange, de acordo com a postagem de Bylica. Na verdade, a única razão pela qual isso T aconteceu, ele disse, é que o número era tão grande que era impossível para a exchange concluí-lo.
O bug foi corrigido e a equipe da Bylica notificou outras exchanges sobre a potencial vulnerabilidade.
"Chocado e aterrorizado"
No entanto, os temores ainda eram alimentados pelo bug, já que ele poderia ser amplamente aplicável a outras exchanges que usam tokens ERC-20.
Embora a equipe de Bylica não tenha verificado a existência dessa vulnerabilidade em outras exchanges, ele mencionou que as potenciais desvantagens eram sérias.
"Ficamos chocados e um BIT aterrorizados ao perceber as potenciais consequências de alguém tirar vantagem desse bug para vários tokens em várias exchanges", escreveu Bylica.
Felizmente, algumas correções propostas são relativamente simples de implementar.
"A simples verificação do comprimento de um endereço fornecido por um usuário protege [as trocas] do ataque descrito", escreveu Bylica.
Reações do Reddit
A reação no Reddit variou de leve indignação a debates sobre a responsabilidade das bolsas de fornecer segurança aprimorada.
"Isso é básico", escreveu o usuário BullBearBabyWhale. "Estou mais uma vez surpreso como os negócios sérios neste espaço (que é todo sobre segurança) não estão levando isso a sério."
Para aqueles que armazenam tokens baseados em Ethereum, incluindo tokens ERC-20, em uma exchange, o usuário do Reddit 1up8192 recomendou entrar em contato com os provedores de serviços para verificar se eles verificaram a vulnerabilidade.
"Pergunte à sua bolsa se eles sabem da possibilidade de injeção e se resolveram o problema", escreveram.
Código de computadorimagem via Shutterstock
More For You
Pudgy Penguins is building a multi-vertical consumer IP platform — combining phygital products, games, NFTs and PENGU to monetize culture at scale.
What to know:
Pudgy Penguins is emerging as one of the strongest NFT-native brands of this cycle, shifting from speculative “digital luxury goods” into a multi-vertical consumer IP platform. Its strategy is to acquire users through mainstream channels first; toys, retail partnerships and viral media, then onboard them into Web3 through games, NFTs and the PENGU token.
The ecosystem now spans phygital products (> $13M retail sales and >1M units sold), games and experiences (Pudgy Party surpassed 500k downloads in two weeks), and a widely distributed token (airdropped to 6M+ wallets). While the market is currently pricing Pudgy at a premium relative to traditional IP peers, sustained success depends on execution across retail expansion, gaming adoption and deeper token utility.
More For You
Meta e Microsoft continuam apostando pesado em gastos com IA. Veja como os mineradores de bitcoin podem se beneficiar
Em seu relatório de resultados do quarto trimestre, a Meta afirmou que os planos de gastos de capital para 2026 devem ficar na faixa de US$ 115 a US$ 135 bilhões, muito acima das previsões consensuais.
What to know:
- Os resultados trimestrais do quarto trimestre da Microsoft (MSFT) e da Meta (META) sugeriram que não há desaceleração nos gastos relacionados à IA.
- A Microsoft destacou que a IA é agora um dos seus maiores negócios e apontou para um crescimento de longo prazo.
- A Meta projetou um aumento acentuado nos gastos de capital em 2026 para financiar seus Meta Super Intelligence Labs e o negócio principal.
Principais Histórias
