Un bug majeur EOS permet de voler des ressources précieuses auprès des utilisateurs

Encore une fois, avec plus de problèmes EOS : la cryptomonnaie populaire souffre d'une vulnérabilité majeure qui permet de voler des ressources réseau précieuses directement à partir de comptes d'utilisateurs sans aucune autorisation.

Le fait est qu’une équipe de développeurs EOS EOS s’empresse déjà de brancher la faille de sécurité. Le bogue permet aux attaquants d'insérer du code pour amener le réseau à distribuer incorrectement de la RAM lors des transactions.

L'équipe EOSEssentials décrit l'attaque:

Un utilisateur malveillant peut installer du code sur son compte [table] lignes au nom d'un autre compte leur envoyant des jetons. Cela leur permet de voler de la RAM en insérant de grandes quantités de mémoire dans les lignes [table] lorsque les dApps / utilisateurs leur envoient des jetons.

Une solution ad hoc a été fournie. Pour éviter de se faire voler leur RAM en interagissant avec des comptes suspects, les utilisateurs doivent utiliser un proxy. Dans ce contexte, un "proxy" est un compte sans RAM à voler – ce n'est donc pas vraiment une solution durable, mais plutôt une solution temporaire.

En envoyant des jetons à un compte proxy sans RAM disponible , et avec un mémo où le premier mot du mémo est le compte auquel vous voulez envoyer les jetons, le seul compte auquel ils peuvent supposer des droits de ligne est le proxy, qui n'a pas de RAM.

RAM en tant que ressource finie à distribuer aux programmeurs . Si cela aide, pensez-y comme un espace de stockage – plus la dApp est grande, plus la quantité de RAM requise pour l'exécuter sans problème.

Un développeur travaillant sur la correction est César Rodriguez, qui précise que la RAM "volée" est effectivement bloquée , ou bloqué. Bien que l'exploit permette de prendre de la RAM à son propriétaire légitime, elle ne peut être ni échangée ni vendue à des fins lucratives. On ne peut pas non plus le rendre. Dans son rapport de bogue initial, il a noté:

Pas une seule dApp ne devrait avoir le droit de prendre les ressources d'un utilisateur et de ne pas permettre à un mécanisme de le rétablir. À long terme, cela créera des milliers de comptes stockant des ordures dans la RAM, une RAM qui pourrait être utile pour les applications qui ont une réelle utilité.

Il peut y avoir des shitcoins dont la valeur de la RAM stockée est supérieure à la valeur du

Il est important de préciser que pour être affecté par ce bogue, vous devez interagir avec un compte EOS chargé avec le contrat malveillant.

"Chaque compte (portefeuille ) peut avoir du code, donc chaque transaction pourrait bloquer votre RAM », a déclaré Rodriguez à Hard Fork. "Juste pour clarifier, vous devez [send] la transaction au compte malveillant. Ce n'est pas que quelqu'un puisse bloquer votre compte [by] en vous envoyant quelque chose. "

Rodriguez a bien noté que le bogue n'a été découvert qu'après qu'un dApp EOS ait été forcé hors ligne. Comme il interagissait directement avec un compte EOS chargé avec le mauvais code (paiement des gains), sa RAM était lentement siphonnée.

La partie la plus préoccupante est que le correctif actuel est assez compliqué pour les non-initiés. Pour l'instant, les utilisateurs devront être à l'aise avec le code d'édition afin de rester en sécurité, au moins jusqu'à ce qu'un correctif officiel soit implémenté.

Quoi qu'il en soit, les choses ne sont pas bonnes pour EOS. Cette mésaventure est la dernière d'une série de failles de sécurité récemment découvertes dans la populaire cryptomonnaie, qui a déjà rapporté près d'un demi million de dollars en 2018

. EOSEssentials GitHub . Bonne chance.

Publié le 27 août 2018 – 11:24 UTC