Un error descubierto el mes pasado podría haber vaciado potencialmente cuentas de cambio con tokens digitales utilizados para alimentar la aplicación distribuida basada en ethereum Golem.

Sin embargo, debido a la naturaleza del error, también podría haber sido utilizado en otros tokens ethereum listados en el intercambio. Esto se debe a que utilizó el estándar ERC-20 de la plataforma, una característica que ha ganado defensores en el sector del intercambio debido a su capacidad para reducir el tiempo que tardan los cambios en agregar nuevas monedas.

Sin embargo, un seguidor de Golem y un titular de GNT encontraron el error el 18 de marzo y lo informaron al equipo de desarrolladores antes de que se pudiera usar maliciosamente.

El problema que salió a la luz surge de cómo los intercambios preparan los datos para las transacciones y cómo Solidity (el lenguaje de contratación inteligente ethereum) codifica y decodifica los datos de transacción, según el ingeniero de software de Golem Factory Pawel Bylica, que publicó un informe sobre la problema.

Según su evaluación, el servicio que preparó los datos para las transferencias de tokens asume una entrada de dirección de 20 bytes de largo, pero en realidad no verificó para asegurarse de que la entrada era de la longitud correcta.

Como resultado, una longitud de dirección más corta hizo que el importe de la transacción se desplazara hacia la izquierda, aumentando así su valor.

El usuario de Golem reportó una transacción "extraña" que ganó tanto valor que podría haber vaciado toda la cuenta GNT de intercambio, según la publicación de Bylica. De hecho, la única razón por la que esto no sucedió, dijo, es que el número era tan grande que era imposible que el intercambio lo completara.

El error ya se ha solucionado y el equipo de Bylica ha notificado otros intercambios de la vulnerabilidad potencial.

"Conmocionado y aterrorizado"

Sin embargo, el error todavía alimentaba los temores, dado que podría haber sido ampliamente aplicable a otros intercambios que utilizaban tokens ERC-20.

Aunque el equipo de Bylica no ha verificado la existencia de esta vulnerabilidad en otras bolsas, mencionó que las posibles desventajas eran serias.

"Nos quedamos impactados y un poco aterrados al darnos cuenta de las posibles consecuencias de que alguien aproveche ese error para obtener múltiples tokens en múltiples intercambios", escribió Bylica.

Afortunadamente, algunas soluciones propuestas son relativamente simples de implementar.

"Simplemente verificar la longitud de una dirección proporcionada por un usuario asegura [intercambios] del ataque descrito", escribió Bylica.

Reacciones de Reddit

La reacción en Reddit varió desde indignación leve hasta debates sobre la responsabilidad de los intercambios para proporcionar una seguridad mejorada.

"Esto es algo básico", escribió el usuario BullBearBabyWhale. "Una vez más me sorprende la seriedad con la que los negocios en este espacio (que es todo sobre seguridad) no lo toman en serio."

Para aquellos que almacenan tokens basados ​​en ethereum, incluidos los tokens ERC-20, en un intercambio, el usuario de Reddit 1up8192 recomendó comunicarse con los proveedores de servicios para ver si habían verificado la vulnerabilidad.

" Pregúntele a su intercambio si saben sobre la posibilidad de inyección y si resolvieron el problema ", escribieron.

Imagen de código de computadora a través de Shutterstock