Ethereum akıllı sözleşmeleri ve dApp (merkeziyetsiz uygulama) geliştiricisi olan Level K, Ethereum ağında art niyetli bazı insanların ETH satın alırken yüksek miktarda ETH tabanlı GasToken üretilmesine imkan sağlayan bir güvenlik zafiyeti olduğunu açıkladı.

Geçtiğimiz günlerde paylaşılan bir yazıya göre, bu durumu fark eden dikkatli bazı borsalar, GasToken ile ilgili bu sorunu ortadan kaldırmak için hızlı davranarak bazı uygulamalar geliştirmiş. Fark edilen bu zafiyet bir yerden başka bir yere ETH gönderildiğinde ortaya çıkıyor ve art niyetli kişi, işlemi yapan kullanıcıyı veya borsayı herhangi bir gas limiti belirlememişse bir ödemeye borçlu kılabiliyordu.

Ancak bu fark edilen risk sadece Ethereum ile sınırlı kalmıyor. Ethereum tabanlı ERC-20 ve ERC-721 altyapısını kullanan piyasadaki tüm tokenlar’ı da kapsıyor. Bu token’larla gas limiti koymadan işlem yapan borsalar da yüksek miktarlarda işlem ücreti ödemeye maruz kalabilir.

Level K bu tehdidi şöyle açıkladı:

“En kolay istismar senaryosunu düşünelim. Alice bir borsa işletiyor. Bob da buna zarar vermek istiyor. Bob ‘fallback’ fonksiyonuyla kontrol ettiği ve kendisinin yönettiği bir adrese para çekme işlemi başlatabilir. Eğer Alice gas limiti koymayı ihmal ettiyse çevrimiçi cüzdanından işlem ücreti ödemek zorunda kalacaktır. Bob yeteri kadar işlem ile Alice’nin bütün fonlarını tüketebilir. Eğer Alice KYC (Müşterini Tanı) politikasını uygulamıyorsa Bob, tek hesap para çekim limitlerinden kurtulmak için çok sayıda hesap açabilir. Ayrıca, eğer Bob kar etmek istiyorsa ‘fallback’ fonksiyonuyla GasToken üretebilir ve Alice’nin fonlarını tüketirken bir yandan da para kazanabilir.”

Level K, bir çok borsanın bu konu hakkında özel olarak bilgilendirildiğini ve onların da bu durumu çözmek için yamalar uyguladıklarını aktardı.