Уязвимость в сети EOS позволяет похищать валюту прямиком у пользователей
29.08.2018
В сети популярной криптовалютыEOS обнаружена уязвимость, позволяющая похищать ценные сетевые ресурсы прямиком из учетных записей пользователей без какой-либо авторизации. В настоящее время команда разработчиков EOS занята активной подготовкой исправляющего проблему обновления.
Уязвимость позволяет злоумышленникам вставить код и тем самым заставить сеть некорректно распределять оперативную память при осуществлении транзакции. Как поясняют разработчики из команды EOSEssentials, злоумышленник может установить в своей учетной записи вредоносный код, который позволит ему вставлять строки таблицы в имя другой учетной записи, отправляющей токены. Добавляя в строки большие объемы "мусорных" данных, злоумышленник способен похищать ресурсы, когда децентрализованное приложение/пользователь отправляет токены.
В качестве временного решения проблемы пользователи могут использовать прокси – учетные записи без оперативной памяти, которую можно украсть. По словам участвующего в подготовке патча разработчика Сезара Родригеса (Cesar Rodriguez), похищенные ресурсы уже заблокированы. Злоумышленники могут похитить оперативку, но не могут продать. Правда, вернуть ее законному владельцу также нельзя.
Для успешной эксплуатации уязвимости жертва должна взаимодействовать с учетной записью в EOS с загруженным вредоносным контрактом.
