पिछले महीने की गई एक बग में ईटम्सम-आधारित वितरित एप्लिकेशन Golem को सत्ता में इस्तेमाल करने वाले डिजिटल टोकन वाले विनिमय खातों को संभावित रूप से रिक्त किया जा सकता था।

हालांकि, बग की प्रकृति के कारण, यह एक्सचेंज में सूचीबद्ध अन्य एथ्रॉमम टोकनों पर भी इस्तेमाल किया जा सकता था। इसका कारण यह मंच के ईआरसी -20 मानक का उपयोग करता है, एक सुविधा है जिसने एक्सचेंज सेक्टरों में नये सिक्कों को जोड़ने के लिए एक्सचेंजों को ले जाने के समय को कम करने की क्षमता के कारण समर्थन हासिल किया है।

हालांकि, एक गोलाम समर्थक और एक जीएनटी धारक को 18 मार्च को बग मिला और दुर्भावनापूर्ण रूप से इस्तेमाल किए जाने से पहले डेवलपर टीम को इसकी सूचना दी।

गोलेम फ़ैक्टरी सॉफ्टवेयर इंजीनियर पावेल बालिकिका के अनुसार, जिस समस्या से प्रकाश में आया, वह कैसे लेनदेन के लिए डेटा तैयार करता है और कैसे सॉलिडाइटी (एटेरेम स्मार्ट कॉन्ट्रैक्टिंग लैंग्वेज) लेनदेन डेटा को एनकोड और डिकोड करती है। मुद्दा।

उनके मूल्यांकन के अनुसार, टोकन स्थानान्तरण के लिए डेटा तैयार करने वाली सेवा एक 20-बाइट लंबे पते इनपुट मानती है, लेकिन यह वास्तव में यह सुनिश्चित करने के लिए नहीं था कि इनपुट सही लंबाई थी

नतीजतन, एक छोटे पते की लंबाई के कारण लेनदेन की राशि बाईं ओर स्थानांतरित की जाती है, जिससे उसका मूल्य बढ़ जाता है

गोएल के उपयोगकर्ता ने एक "अजीब" लेनदेन की सूचना दी जो कि बयालिका के पद के अनुसार, पूरे एक्सचेंज जीएनटी खाते को खाली कर सकते थे। वास्तव में, उन्होंने ऐसा ही नहीं होने का कारण बताया, यह है कि यह संख्या इतनी बड़ी है कि विनिमय पूरी करने के लिए यह असंभव था।

बग को अब तय किया गया है और बेलोिका की टीम ने संभावित खतरे के अन्य एक्सचेंजों को सूचित किया है।

'हैरान और डरे हुए'

फिर भी, बग से अभी भी डर लग रहा था, यह ईआरसी -20 टोकन के उपयोग से अन्य एक्सचेंजों पर मोटे तौर पर लागू हो सकता था।

यद्यपि बीलिका की टीम ने अन्य एक्सचेंजों पर इस भेद्यता के अस्तित्व की पुष्टि नहीं की है, उन्होंने उल्लेख किया कि संभावित डाउनसाइड गंभीर थे।

"हम बहुत ही चौंक गए थे और कुछ एक्सचेंजों पर कई टोकनों के लिए उस बग का फायदा उठाते हुए संभावित परिणामों का एहसास करने के लिए थोड़ा सा घबरा गया," बालिकिका ने लिखा।

सौभाग्य से, कुछ प्रस्तावित फ़िक्स को लागू करने के लिए अपेक्षाकृत सरल हैं।

"बस किसी उपयोगकर्ता द्वारा प्रदान किए गए पते की लंबाई की जाँच करके एक्सचेंजों को वर्णित हमले से सुरक्षित करता है," बालिकिका ने लिखा है।

रेडडिट प्रतिक्रियाएं

रेडडिट पर प्रतिक्रिया में वृद्धि हुई सुरक्षा प्रदान करने के लिए एक्सचेंजों पर हल्के आक्रोश से लेकर बहस तक की गई। उपयोगकर्ता कहते हैं, "यह मूल चीज है," बुलबियरबैबीविहेले ने लिखा है। "मैं एक बार फिर आश्चर्यचकित हूं कि इस जगह में कितना गंभीर व्यवसाय (जो कि सुरक्षा के बारे में है) गंभीरता से नहीं ले रहा है।"

ईआरसी -20 टोकन सहित ईटीआर -20 टोकन रखने वाले लोगों के लिए, रेडिट यूजर 1up8192 ने सेवा प्रदाताओं तक पहुंचने की सिफारिश की है ताकि वे देख सकें कि क्या उन्होंने भेद्यता की जांच की थी।

" अपने एक्सचेंज से पूछें अगर वे इंजेक्शन की संभावना के बारे में जानते हैं और यदि वे समस्या का समाधान करते हैं, तो उन्होंने लिखा है।

शटरस्टॉक द्वारा कंप्यूटर कोड छवि