> گروه اخبار > لحظه نگر مالی و بازارهای سرمایه گذاری > ارز دیجیتال و فین تک > مشروح خبر جهت ارسال به چند نفر، نام و ایمیل گیرندگان با کاما { ، } جدا شوند. نام فرستنده: * ایمیل فرستنده: نام گیرنده(گان): * ایمیل گیرنده(گان): * متن پیام: * کد امنیتی: تاریخ: 1397/09/01 کشف آسیبپذیری در شبکه اتریوم گروه توسعه دهنده برنامههای غیرمتمرکز و قراردادهای هوشمند اتریوم به نام Level K، از یک آسیب پذیری در فریمورک اتریوم پرده برداشت که به صورت مخفی به افراد سودجو اجازه ساخت مقادیر بسیار بالایی از GasToken را به هنگام دریافت اتریوم میدهد. در پست منتشر شده در تاریخ ۲۱ نوامبر، این شرکت افشا کرد که این نقص به عنوان یک خطر جدی برای صرافیهای در معرض خطر نشانهگذاری و ارسال شده است تا با اعمال تغییرات نرمافزاری، از این آسیبپذیری در امان باشند. ضعف امنیتی نهان در GasToken این آسیبپذیری زمانی به وجود میآید که به آدرسی اتریوم فرستاده میشود و با استفاده از محاسبات دل به خواهی که فرستنده تراکنش آن را پرداخت میکند میتواند منجر به خطر گریفینگ (griefing) شود. این ریسک به عملی که توسط فرد مخربی در شبکه برای آسیب زدن به کاربران آن طراحی شده گفته میشود. در واقع، مهاجم میتواند مبدا تراکنش که میتواند یک صرافی باشد را در صورتی که از لایههای محافظتی مانند محدودیت gas استفاده نکرده باشد، مجبور به پرداخت یک مقداری اختیاری برای محاسبات شبکه کند. با ایجاد مقادیر بالایی از GasToken حین دریافت اتریوم، حداقل به صورت نظری این نوع حمله برای فرد مهاجم میتواند امکان سودآوری نیز داشته باشد. چیزی که این موضوع را خطرناکتر کرده این است که تنها شامل اتریوم نمیشود و امکان انجام آن در تمامی توکنهای برپایه اتریوم از جمله توکنهای ساخته شده بر پایه استانداردهای ERC-721 و ERC-20، وجود دارد. در صورت اجرای فراخوانیهای انجام شده قراردادهای هوشمند و انجام انتقالات در شبکه، صرافیهایی که محدودیت gas برای تراکنش اینگونه توکنها در نظر نگرفتهاند، در نهایت به پرداخت مقادیر بالایی به ازای محاسبات انجام شده و سرنوشتی مشابه محکوم میشوند. بخشی از پست منتشر شده از سوی Level K که این تهدید را با داستان سادهای توضیح میدهد، به شرح زیر است: سادهترین سناریوی این رخنه به این صورت است که آلیس یک صرافی داشته و باب قصد دارد به این صرافی حمله کند. باب میتواند درخواست برداشت خود را از صرافی آلیس به آدرس خود (که قرارداد هوشمندی است که خود او با تابعی فشرده از نظر محاسباتی کنترل میکند) انجام دهد. اگر آلیس فراموش کرده باشد یک محدودیت gas یا همان gas limit منطقی قرار دهد، مجبور به پرداخت کارمزد تراکنشها از کیف پول گرم خود خواهد بود. باب با داشتن تراکنشهای کافی، میتواند سرمایه آلیس را خالی کند. اگر آلیس سیاستگذاریهای شناخت مشتری (KYC) را در صرافی خودش انجام نداده باشد، باب با ساختن حسابهای متعدد میتواند محدودیت برداشت روزانه را نیز دور بزند. علاوه بر این اگر باب قصد داشته باشد از این حملات نفعی هم ببرد، میتواند با ایجاد GasToken در تابع قرارداد هوشمند با خالی کردن حساب آلیس سودی به جیب بزند. با استناد به پست منتشر شده Level K، به صرافیهای تحت تأثیر این آسیبپذیری بالقوه به صورت خصوصی در تاریخ ۱۳ نوامبر اطلاع داده شده است. از آنجایی که دانستن اینکه کدام صرافی این محدودیت را اعمال کرده یا نه کار دشواری است، اطلاعیه خصوصی به بیشتر صرافیها ارسال شده است. همچنین این شرکت توسعهدهنده اطلاعیه جامعی درباره این تهدید منتشر کرده است. منبع خبر: ارز دیجیتال ثبت نام و عضویت میز کار لینک های مفید خدمات حَسمان ارتقاء سواد مالی در حَسمان خدمات ویژه حسابداران ارتقاء حرفه ای در حَسمان خدمات ویژه مدیران طرح پویش سواد اندوزی مالی دوره های آموزشی lms عضویت ویژه حسمان مشارکت و دعوت از دوستان همیار با تو همیار دانش آموز طرح پویش سواد اندوزی مالی آموزش سواد مالی مقدماتی نبض بازار دیده بان بازار هوای بازار دوره آموزشی بهینه نگر همیار شغلی حسابدار دیکشنری تخصصی حسابداری ثبت رزومه دوره های آموزشی توسعه نگر طرح توانمند سازی ایستگاه خبر حسابداری مدار خبر کار و دانش ثبت آگهی استخدام دوره های آموزشی مدیران همیار دانش آموز طرح پویش سواد اندوزی دوره های آموزشی همراه با تیم همراه با تیم همراه با تیم دیدگاه کاربران نام: پست الکترونیک: * متن: * کد امنیتی: * اخبار مرتبطدولت ارز دیجیتال را به رسمیت میشناسد/تکلیف جدید بانک مرکزیحمله به توییتر و پرواز بیتکویناگر در صرافی هیوبی حساب دارید آن را ببندید!چه کسی هزینه توسعه بیت کوین را میدهد؟چرا اکنون میتواند زمان خوبی برای خرید بیت کوین باشد؟