Deweloperzy Ethereum Smart contract i dApp Level K odkryli obecność luki w strukturze Ethereum. Mogła ona umożliwić osobom o złych intencjach wytwarzanie dużych ilości GasToken podczas otrzymywania ETH. Level K powiadomili o tym na swoim blogu 21 listopada. Giełdy kryptowalutowe narażone na największe ryzyko ataku wprowadziły do tej pory potrzebne zmiany, aby zniwelować jego groźbę.
Zagrożenie powstawało podczas przesyłania ETH na adres, który mógł przeprowadzić losowe przetworzenia, za które płacił nadawca transakcji. Tworzyło to z kolei możliwość przestępczej działalności na szkodę użytkowników sieci. W teorii, takie ataki mogły być zyskowne, jeśli platformy do wymiany wirtualnych walut nie miałyby ustawionych limitów maksymalnej złożoności obliczeniowej. Wtedy ilość wytworzonych GasToken mogła być ogromna. Jednocześnie szkody ponosiliby właściciele giełd czy innych portfeli.
Co więcej, ryzyko nie pojawiało się jedynie w przypadku Ethereum, ale również wszystkich tokenów opartych na nim. Level K przedstawili case study, w którym wytłumaczyli, na czym polegała luka:
Przewidując najprostszy scenariusz wykorzystania luki: Alicja prowadzi giełdę kryptowalutową, której Bob chce zaszkodzić. Bob może zainicjować wypłaty na adres portfela, który kontroluje przy pomocy wysokoobliczeniowej funkcji „fallback”. Jeśli Alicja nie ustawiła racjonalnych limitów maksymalnej złożoności obliczeniowej, zapłaci opłaty transakcyjne z własnego portfela. W przypadku odpowiedniej liczby transakcji, Bob może opróżnić rachunek Alicji. Jeśli Alicja nie wprowadziła polityki Know Your Customer (KYC), Bob może stworzyć liczne konta, aby obejść limity wypłat na pojedynczych rachunkach. W dodatku, jeśli Bob pragnie także zarobić, może wytwarzać GasToken (…), i zarabiać pieniądze, w tym samym czasie opróżniając portfel Alicji.
Według Level K, giełdy kryptowalutowe zostały powiadomione prywatnie 13 listopada. Ze względu na brak wiedzy, które z nich posiadały odpowiednie zabezpieczenia, ostrzeżenie otrzymało jak najwięcej platform. Wszystkie z nich zaimplementowały już rozwiązania wykluczające możliwość ataku.