AgentRX 15 фев 2018 в 14:09

Смарт-контракт ловушка в сети Ethereum

3 мин

20K

Solidity * Криптография *

+45

Комментарии 11

TrllServ 15 фев 2018 в 14:19

Правильно ли я понимаю, что для этой атаки он(а) теперь сидит онлайн 24/7 и ждет жертву?
Просто кажется тут какая то незавершенность.

AgentRX 15 фев 2018 в 14:21

Достаточно для этих целей написать робота и спать спокойно.
PS. Более подробно данная атака разбирается здесь: blog.positive.com/zeronights-ico-hacking-contest-writeup-63afb996f1e3

Tsvetik 15 фев 2018 в 18:36

Тут все намного проще.
Никто не сидит 24/7.
Владелец просто уже вызвал PassHasBeenSet через контракт-прокси. Эта транзакция на etherscan не отображается.
Значение переменной passHasBeenSet легко проверяется через web3.eth_getStorageAt()

Пару недель назад на etherscan просмотрщик исходного кода был без wordwrap, и поэтому было множество контрактов-ловушек, где часть кода пряталась за горизонтальной полосой прокрутки.
После настойчивых обращений разработчики включили wordwrap.

У меня есть большая коллекция ловушек. Некоторые — просто шедевры.

catanfa 15 фев 2018 в 20:20

ловушки в студию, пожалуйста

Tsvetik 16 фев 2018 в 09:35

Возможно, я когда-нибудь о них расскажу, но сегодня мне лень.

Psychosynthesis 16 фев 2018 в 00:54

А запилите-ка нам статейку.

decomeron 15 фев 2018 в 22:54

Думаю, прежде чем что то кому то начать, нужно все проверить на хабре, а так ли я делаю. И только потом уже в дело пускать

ktod 16 фев 2018 в 08:00

Интересно, а если после появления транзы злоумышленника докинуть газа на свою транзу? Предусмотрел ли он такой вариант? =)

vibornoff 16 фев 2018 в 09:07

Есть еще вариант — самому смайнить блок с транзакцией окешивания ловушки, не принимая в него транзакцию злоумышленника. Для этого транзакцию окешивания даже в сеть передавать не надо.

ktod 16 фев 2018 в 10:53

Да да да. Я тоже об этом подумал.

НЛО прилетело и опубликовало эту надпись здесь

Зарегистрируйтесь на Хабре, чтобы оставить комментарий