Los contratos inteligentes vulnerables ponen millones en Ether en riesgo de seguridad

 

El descubrimiento de 34,200 contratos inteligentes vulnerables pone a millones en Ether en riesgo de seguridad
Aunque Bitcoin creció en popularidad debido a sus altibajos volubles, la mayoría de los titulares fueron tomados por Ethereum. Si bien Ethereum ha experimentado una fuerte inclinación durante el año pasado, ha habido varios problemas de seguridad y controversias en torno a él. Un usuario «Devops199» activó accidentalmente un error que congelaba $280 millones en Ethereum en noviembre, lo que fue desastroso.
Esto sucedió una vez, Devops199 se convirtió en propietario de un contrato inteligente.
Motherboard News informó que más de 34,200 de estos contratos demostraron ser riesgosos y expusieron vulnerablemente millones de dólares en Ether, según un informe de investigación de la Universidad Nacional de Singapur (NUS), Yale-NUS College en Singapur y University College London en el Reino Unido. . (UCL).
El informe cita que «una muestra de aproximadamente 3,000 contratos vulnerables que el equipo verificó podría explotarse para robar aproximadamente $ 6 millones en éter», lo que demuestra que existe la posibilidad de que se congele una cantidad más importante. creadores de contratos vulnerables
Los investigadores han subido toda la cadena de bloques de Ethereum.
El equipo creó una herramienta MAIAN que analizó casi un millón de contratos inteligentes desprotegidos que podrían conducir a monedas congeladas o podrían revertir esos contratos por completo. Para garantizar que los fondos no se vean perturbados, la herramienta utiliza toda la cadena de bloques de Ethereum.
Ilya Sergey, profesor asistente de ciencias de la computación en el University College London y coautor de la investigación, dijo a la publicación «Imagina que tu objetivo no es interactuar correctamente con la máquina expendedora, sino romperla o llegar a servirte gratis». .

Ella dice«Supongamos que ponemos algunas monedas en la máquina y comenzamos a presionar botones aleatorios con la esperanza de que el funcionamiento interno de la máquina expendedora, del que no tenemos conocimiento, resortes y demás, finalmente suelte el pestillo para que puedas tomar los dulces».

Buscaron vulnerabilidades implementando varias permutaciones de interacciones con todos los contratos inteligentes en vivo.
Parity (la empresa detrás de la biblioteca de código vulnerable) estaba muy bien informada sobre la vulnerabilidad meses antes de que DevOps199 congelara cientos de millones en Enthereum.
Post-freeze Parity dijo en su declaración que en agosto, un colaborador de Github llamado «3esmit» recomendó un cambio de código que decía que se debería llamar a initWallet en la implementación, lo que en ese momento se consideró una mejora práctica. Por lo tanto, comprometieron esta mejora propuesta en el contrato de la biblioteca que lo inicializaría automáticamente llamando a initWallet en la compilación.
Para evitar tales incidentes en el futuro, los investigadores optaron por no revelar los detalles de los contratos vulnerables. Dijeron que los delincuentes deberían hacer al menos tanto trabajo como lo hacen para infligir daño.
Con el tiempo, esta investigación podría ayudar a los investigadores a descubrir sin esfuerzo la vulnerabilidad de los contratos inteligentes y solucionar los problemas. Esta investigación se encuentra actualmente en revisión por pares.

Comparte en Redes

Deja un comentario

Tu dirección de correo electrónico no será publicada.