Разработчик смарт-контрактов и децентрализованных приложений (dApp) с ником Level K выявил баг на платформе эфириума, который позволил бы злоумышленникам «начеканить» значительное количество токенов GasToken при получении эфира.
Уязвимость возникает при отправке эфира по какому-либо адресу, а затем адрес может выполнять произвольные вычисления, которые уже оплачены инициатором транзакции.
Теоретически, злоумышленник может заставить создателя транзакции, например, биржу, заплатить за произвольный объём вычислений (griefing – «вредительство»), если она не оснащена соответствующими программными средствами защиты. Есть несколько бирж, которые позволяют выводить эфир на произвольные адреса без лимита на использование газа. Это позволяет злоумышленникам заставлять биржи тратить эфир на высокие транзакционные комиссии, в то время как сами хакеры получают финансовую выгоду в виде GasToken. Таким образом, griefing может стать прибыльной атакой.
Атака griefing может быть совершена не только на эфир; это могут быть все токены на основе эфириума, построенные на стандартах ERC-721 и ERC-20. Иногда биржи заключают контракты для осуществления трансферов, не устанавливая лимита на газ. В таких случаях они также платят за произвольный объём вычислений, который может привести к высоким транзакционным комиссиям.
Level K объяснил, что угроза затрагивает только те биржи, которые инициируют эфириум-транзакции, не касаясь тех бирж, которые обрабатывают такие транзакции. Ethereum Classic и другие блокчейны на основе EVM также могут быть затронуты. Однако речь не идёт о децентрализованных биржах (DEX) и платформах на основе смарт-контрактов.