Баг EOS дозволяє зловмисникам блокувати ресурси RAM користувачів

Виявили недавно баг знову викликає проблеми у користувачів EOS: він дозволяє блокувати їх цінні мережеві ресурси без будь-якої авторизації. Команда розробників EOS вже відреагувала на проблему і зайнялася пошуком надійного рішення.

Команда EOSEssentials описує цю атаку так: «Зловмисний користувач встановлює код на своєму акаунті, який дозволяє йому вставляти рядки в ім’я іншого аккаунта, з якого йому передаються токени. Таким чином він може красти RAM, вставляючи великі обсяги сміття в рядки, коли децентралізовані додатки / користувачі відправляють йому токени».

В якості тимчасового вирішення проблеми користувачам пропонується використовувати “прокладки” при взаємодії з сумнівними акаунтами. Їх роль в цьому випадку виконують проміжні акаунти, які не мають ресурсів RAM, які можна було б вкрасти.

«Відправляючи токени на аккаунт-” прокладку “, який не має доступної RAM, з приміткою, де перше слово відповідає аккаунту, на який ви хочете в кінцевому рахунку передати свої маркери, ви не робите вразливим свій основний аккаунт», – йдеться в описі рішення на GitHub.

В екосистемі EOS RAM є обмеженим ресурсом, що розподіляється серед розробників. Чим складніше децентралізоване додаток, тим більше RAM йому потрібно для безперебійної роботи.

Розробник Сесар Родрігес, який також працює над створенням ефективної заплатки, пояснив, що вкрадені таким чином ресурси RAM, по суті, блокуються. Оскільки експлойт не дозволяє перенести RAM на інший рахунок, заблоковані ресурси не можна обміняти або продати. Їх також не можна повернути законному власнику.

«У жодного децентралізованого програми не повинно бути права на привласнення ресурсів без механізму їх повернення. У довгостроковій перспективі це призведе до виникнення тисяч акаунтів, що зберігають сміттєву RAM, тобто RAM, яку не можна використовувати в додатках, що мають реальну цінність. У деяких шіткоінів вартість зберігається RAM може перевищити їх власну вартість », – написав Родрігес.

Відповідно, щоб постраждати від дій зловмисників, користувач спочатку повинен сам відправити токени на заражений адресу. «На будь-якому акаунті може бути встановлений цей код, тому будь-яка транзакція може заблокувати вашу RAM», – повідомив Родрігес. «Щоб було зрозуміло, ви повинні здійснити переклад на шкідливий адресу. Якщо ви є одержувачем переказу, то не можете стати жертвою атаки».

За словами Родрігеса, баг був виявлений після того, як беттінговое додаток на блокчейне EOS перестало функціонувати. У міру того, як воно виплачувало виграші зловмисному користувачеві, все більше і більше ресурсів RAM блокувалося.

Запропонований в цей час проміжний фікс має один істотний недолік – він складний для виконання звичайними користувачами, які змушені самостійно редагувати код, щоб захистити себе.

Джерело: TheNextWeb

- Advertisement -

Залишити відповідь

Ваша електронна адреса не буде опублікована.