Баг EOS позволяет злоумышленникам блокировать ресурсы RAM пользователей

casio

Обнаружившийся недавно баг снова вызывает проблемы у пользователей EOS: он позволяет блокировать их ценные сетевые ресурсы без какой-либо авторизации. Команда разработчиков EOS уже отреагировала на проблему и занялась поиском надёжного решения. Об этом пишет TheNextWeb.

Команда EOSEssentials описывает эту атаку так: «Злонамеренный пользователь устанавливает код на своём аккаунте, который позволяет ему вставлять строки в имя другого аккаунта, с которого ему передаются токены. Таким образом он может воровать RAM, вставляя большие объёмы мусора в строки, когда децентрализованные приложения/пользователи отправляют ему токены».

В качестве временного решения проблемы пользователям предлагается использовать “прокладки” при взаимодействии с сомнительными аккаунтами. Их роль в этом случае выполняют промежуточные аккаунты, не имеющие ресурсов RAM, которые можно было бы украсть.

«Отправляя токены на аккаунт-“прокладку”, не имеющий доступной RAM, с примечанием, где первое слово соответствует аккаунту, на который вы хотите в конечном счёте передать свои токены, вы не делаете уязвимым свой основной аккаунт», - говорится в описании решения на GitHub.

В экосистеме EOS RAM является ограниченным ресурсом, распределяемым среди разработчиков. Чем сложнее децентрализованное приложение, тем больше RAM ему требуется для бесперебойной работы.

Разработчик Сесар Родригес, также работающий над созданием эффективной заплатки, пояснил, что украденные таким образом ресурсы RAM, по сути, блокируются. Поскольку эксплойт не позволяем перенести RAM на другой аккаунт, заблокированные ресурсы нельзя обменять или продать. Их также нельзя вернуть законному владельцу.

«Ни у одного децентрализованного приложения не должно быть права на присвоение ресурсов без механизма их возврата. В долгосрочной перспективе это приведёт к возникновению тысяч аккаунтов, хранящих мусорную RAM, то есть RAM, которую нельзя использовать в приложениях, имеющих реальную ценность. У некоторых шиткоинов стоимость хранящейся RAM может превысить их собственную стоимость», - написал Родригес.

Соответственно, чтобы пострадать от действий злоумышленников, пользователь сначала должен сам отправить токены на заражённый адрес. «На любом аккаунте может быть установлен этот код, поэтому любая транзакция может заблокировать вашу RAM», - сообщил Родригес. «Чтобы было понятно, вы должны осуществить перевод на зловредный адрес. Если вы являетесь получателем перевода, то не можете стать жертвой атаки».

По словам Родригеса, баг был обнаружен после того, как беттинговое приложение на блокчейне EOS перестало функционировать. По мере того, как оно выплачивало выигрыши злонамеренному пользователю, всё больше и больше ресурсов RAM блокировалось.

Предложенный в настоящее время промежуточный фикс имеет один существенный недостаток – он сложен для исполнения обычными пользователями, которые вынуждены самостоятельно редактировать код, чтобы защитить себя.

Ivan Ivanov

еще один пример того, что платформа EOS достаточно сырая и мы будем слышать о новых проблемах и уязвимостях. вполне может дойти и до того, что люди в один прекрасный день лишатся монет.

okela

Участник @ivan-ivanov написал в Баг EOS позволяет злоумышленникам блокировать ресурсы RAM пользователей:

еще один пример того, что платформа EOS достаточно сырая и мы будем слышать о новых проблемах и уязвимостях. вполне может дойти и до того, что люди в один прекрасный день лишатся монет.

Ну думаю подсушат, подлатают платформу и будет EOS неплохим конкурентом тому же Кефиру.

casio

Участник @ivan-ivanov написал в Баг EOS позволяет злоумышленникам блокировать ресурсы RAM пользователей:

еще один пример того, что платформа EOS достаточно сырая и мы будем слышать о новых проблемах и уязвимостях. вполне может дойти и до того, что люди в один прекрасный день лишатся монет.

Ну денег там нельзя лишиться ... Но вот что все эти приложения не будут работать, это сделать можно. И тогда им всем цена ноль будет.

Ivan Ivanov

@casio может случиться как с монеро - просто создадут дополнительные монеты и продадут на биржах. никто не знает, какие еще баги есть у EOS.

casio

Участник @ivan-ivanov написал в Баг EOS позволяет злоумышленникам блокировать ресурсы RAM пользователей:

@casio может случиться как с монеро - просто создадут дополнительные монеты и продадут на биржах. никто не знает, какие еще баги есть у EOS.

Ну тут основные монеты не смогут тронуть думаю. А вот токенов сделать двойной расчет, такая вероятность есть.

Ivan Ivanov

@casio это тоже немалая проблема и судя по всему новые вопросы касательно уязвимостей не перестают появляться и кто знает, сколько их еще будет.

okela

Участник @ivan-ivanov написал в Баг EOS позволяет злоумышленникам блокировать ресурсы RAM пользователей:

@casio это тоже немалая проблема и судя по всему новые вопросы касательно уязвимостей не перестают появляться и кто знает, сколько их еще будет.

В этом разряде EOS походу может претендовать на рекордный результат ... :)

casio

Участник @okela написал в Баг EOS позволяет злоумышленникам блокировать ресурсы RAM пользователей:

Участник @ivan-ivanov написал в Баг EOS позволяет злоумышленникам блокировать ресурсы RAM пользователей:

@casio это тоже немалая проблема и судя по всему новые вопросы касательно уязвимостей не перестают появляться и кто знает, сколько их еще будет.

В этом разряде EOS походу может претендовать на рекордный результат ... :)

Ну быстро его запустили , без тестов вот и результат на лицо.

Knuckles

Пока никто не лишился своих средств, так что не так страшно. Все учатся на ошибках, даже те разработчики, которые быстро выпускают свой продукт. Главное, чтобы не забивали на него и во время латали все дыры.

Ivan Ivanov

@knuckles до поры до времени на всех проектах не лишаются денег, но в один прекрасный момент находится уязвимость и тогда теряются астрономические суммы.

casio

Ну денег может и не лишился народ. но вот желания разрабатывать там что то у народа убавилось. Как то не получилось им нормальный организм создать.

Ivan Ivanov

@casio если нет нормальных условия для работы, то логично предположить, что разработчики предпочтут другие платформы, выбор же есть.

casio

Участник @ivan-ivanov написал в Баг EOS позволяет злоумышленникам блокировать ресурсы RAM пользователей:

@casio если нет нормальных условия для работы, то логично предположить, что разработчики предпочтут другие платформы, выбор же есть.

ну выбора еще как бы нет. Все только смотрят в сторону ЕОС ... Ну из за проблем с РАМ как то желания не возникает.

Ivan Ivanov

@casio есть и другие платформы, на одном ЕОС свет клином не сошелся. кстати, сегодня встретил проект на платформе Waves ) даже на дропчик записался )

casio

Участник @ivan-ivanov написал в Баг EOS позволяет злоумышленникам блокировать ресурсы RAM пользователей:

@casio есть и другие платформы, на одном ЕОС свет клином не сошелся. кстати, сегодня встретил проект на платформе Waves ) даже на дропчик записался )

Дело не в том что звезда указала на ЕОС. Просто смотрят люди где можно свой проект сделать, да быстрей и подешевле.

Ivan Ivanov

@casio согласен, поэтому если ЕОС будет и дальше крутить носом и завышать требования, то разработчики плюнут и просто выберут другие платформы.

casio

Участник @ivan-ivanov написал в Баг EOS позволяет злоумышленникам блокировать ресурсы RAM пользователей:

@casio согласен, поэтому если ЕОС будет и дальше крутить носом и завышать требования, то разработчики плюнут и просто выберут другие платформы.

Да они все сделали для удобства. Просто когда вы запускаете свое приложение там, вы должны рам для него включить. А за это нужно заплатить. Цена на него от жадности в облака улетела.

Ivan Ivanov

@casio а разве это не помеха или своего рода неудобство? не думаю, что у большинства есть лишние деньги, чтобы переплачивать барыгам памятью.

casio

Участник @ivan-ivanov написал в Баг EOS позволяет злоумышленникам блокировать ресурсы RAM пользователей:

@casio а разве это не помеха или своего рода неудобство? не думаю, что у большинства есть лишние деньги, чтобы переплачивать барыгам памятью.

Ну удобств от этого точно нет. И как то желающих на покупку памяти как бы нет...