افشای آسیبپذیری پلتفرم FairWin بر بستر اتریوم
سوء ظن Philippe Castonguay در مورد FairWin ابتدا در ۱۱ سپتامبر ایجاد شد. او اطلاعات سری دریافت کرده بود که متوجه مصرف غیر عادی و بالای gas آن پلتفرم در ماه گذشته شده بود. به دنبال آن تلاشی جمعی بین نویسنده گزارش Daniel Luca با Griff Green، Harry D و Oleksii Matiiasevych شکل گرفت.
این محققان کشف کردند که ادمین پلتفرم می تواند تمامی قراردادهای هوشمند را در یک نسخه قبلی از نرم افزار تخلیه کند و همچنین از اعضای تیم جعلی استفاده کند. این آسیب پذیری به هر فردی اجازه می داد که همه واریزی های کاربر را بدزدد و همچنین خطاهای تایپی و اشکالات مختلفی در کدگذاری قراردادها موجود بودند. این امر نشان داد که ادمین های پلتفرم دارای کنترل کامل بر برداشتی ها بوده اند.
در نهایت این تیم تصمیم گرفت که بهترین اقدام افشای این آسیب پذیری بدون بیرون دادن اطلاعات بیش از حد می باشد. ایده پشت چنین افشاسازی این بود که کاربران پلتفرم ممکن است فرصت برداشت موجودی خود را قبل از بهره برداری از آسیب پذیری ها داشته باشند. با این وجود، آنها اقرار کردند که چنین افشاسازیی باعث فرار زودتر ادمین های سایت می شود.
این تیم در ۲۶ سپتامبر شروع به افشاسازی این آسیب پذیری کرد. در آن زمان، ۸ میلیون دلار توکن اتریوم در قرارداد هوشمند ذخیره شده بود. این قرارداد فورا در آخر هفته تخلیه شد و حال کاملا خالی است. آدرس های اتریومی بیشمار ناشناخته ای وجوه را دریافت کردند و بسیاری از کاربران قادر به برداشت موجودی های خود نبودند.
FairWin
عیب جدی اتریوم؟
محققان نتیجه گرفتند که شواهد عینی برای نشان دادن اینکه آسیب پذیری قرارداد مورد بهره برداری قرار گرفته است، موجود نمی باشد. اما آنها متوجه شدند که نمی توانند این احتمال را نادیده بگیرند که ادمین های FairWin در آخر هفته فریبکارانه عمل کرده باشند. Castonguay چنین می نویسد:
براستی، از آنجا که آنها به طور موثری انتخاب می کنند که چه کسی و چه زمانی اجازه برداشت دارد. این احتمال می رود که آنها بعضی اکانت ها را بر اکانت های دیگر در چند روز گذشته ترجیح داده باشند، اینها احتمالا آدرس هایی باشند که آنها کنترل می کنند.
چنین آسیب پذیری هایی در فعال ترین قرارداد هوشمند بلاک چین اتریوم نگرانی هایی را در مورد ازدیاد پروژه های دیگر که بر روی شبکه ساخته شده اند، مطرح نمود. تعداد زیاد اعداد همراه با پیچیدگی کدگذاری در یک قرارداد هوشمند بسته شده، نشان می دهد که چنین بهره برداری هایی بر روی پلتفرم هایی که تحت بازرسی گسترده توسط برنامه نویسان بااستعداد قرار نگرفته اند، در آینده نیز موجود خواهد بود.
Wertheimer کاربر بیت کوین و شناسایی کننده کد بیان کرد که اکثر برنامه های غیر متمرکز در واقع متمرکز و دارای سرپرست می باشند.
در ضمن همچنان که قبلا BelnCrypto گزارش داد، شبکه لایتنینگ بیت کوین با آسیب پذیری های خاص خود مواجه می باشد.
منبع beincrypto
افشای آسیبپذیری پلتفرم FairWin بر بستر اتریوم
مطالب بیشتر
دیدگاهتان را بنویسید