پیشروی GUSD می تواند منجر به از دست دادن سهام ضد اسپم شود

برای یک توضیح ساده در مورد چگونگی کار قراردادهای هوشمند ، به پست ما در قراردادهای هوشمند ، اتریوم و ICO ها مراجعه کنید.

قراردادهای هوشمند دلار جمینی

به طور کلی ، وقتی کسی می خواهد بر اساس blockchain Ethereum توکن های جدیدی ایجاد کند. آنها یک قرارداد هوشمند (مینی برنامه) می نویسند که موارد زیر را مشخص می کند:

1. داده ("این بسیاری از نشانه ها در چنین نشانی هایی هستند) ،
2. روش ها" (لطفاً نشانه های من را به این موارد انتقال دهید.

سازندگان سیستم دلار جیمی پیشرفتهای زیر را نیز به اجرا گذاشتند:

1. آنها قرارداد را به سه جزء تقسیم کردند: پروکسی (رابط دائمی که دارندگان نشان می توانند با هم تعامل و انجام دهند. عملیات) ، ذخیره سازی (نقشه برداری از دارنده های توکن به مانده های آنها) ، و Impl (منطق اساسی) ؛
2. مؤلفه ای که منطق را توصیف می کند می تواند به روز شده و با ویژگی های جدیدی از جمله قابلیت یخ زدایی وجوه استفاده شود. در همین حال ، داده و رابط بدون تغییر باقی مانده است. به روز رسانی برای همه شفاف است ؛
3. برای بروزرسانی و کنترل ، از یک قرارداد هوشمند "نگهبان" جداگانه استفاده می شود که توسط چندین نفر (متولیان) برای محافظت بیشتر اداره می شود. اگر یکی از متولدین اقدامی را پیشنهاد کند ، دیگران باید قبل از شروع عمل تأیید کنند.

این پیشرفت ها سالم هستند و امنیت و انعطاف پذیری کلی را افزایش می دهند.

پرداخت های Antispam

اگر کسی غیر از متولی اصلی وارد پیشنهاد شود. در یک قرارداد نگهبان ، آنها باید یک سهم ETH (حدود 200 دلار با نرخ ارز فعلی) بپردازند. همانطور که در توضیحات مربوط به خود قرارداد ذکر شده است ، این اقدام ضد اسپیس قصد دارد شرکت کنندگان را از ایجاد درخواست های زیادی منصرف کند.

پرداخت های antispam در نهایت به یک نفر می رود: کسی که تأیید یک پیشنهاد / درخواست خاص را اعلام می کند. این اجرای ممکن است بسیار عادلانه به نظر نرسد ، اما اظهار نظرها به وضوح نشان می دهد که سازندگان آن آن را به این شکل تصور کرده اند.

} other {
if (آدرس (این) .balance> 0) {
// فرستنده پاداش با پرداخت ضد اسپم
// چشم پوشی ارسال موفقیت (اختصاص دادن به موفقیت) اما این بازنویسی می شود) [19659021] موفقیت = msg.sender.send (آدرس (این ()) .balance) ؛

از طرف ما ، توصیه می کنیم از روش الگوی خروج Solidit استفاده کنید.

مهاجمین که در حال اجرا هستند ، می توانند کلیه پرداختهای ضد اسپم را دزدی کنند. [19659005] کسی که تأیید درخواست را تعیین می کند از این رو کلیه پرداختهای ضد اسپاس ETH را نیز دریافت می کند. برای انجام این کار ، او تابع قرارداد هوشمند را کامل می خواند و امضاهای دو متولی را در پارامترها عبور می دهد.

مسئله این است که اتریوم ، مانند هر blockchain دیگر ، درخواست ها را با تاخیر انجام می دهد. یک معامله مشتری (انتقال پول یا فراخوانی یک عملکرد) برای مدت زمانی (معمولاً 15 ثانیه یا بیشتر) در صف انتظار است. در این مدت ، کاملاً هر کسی می تواند نقل و انتقالات برنامه ریزی شده سایر کاربران اتریوم ، از جمله مقادیر ، گیرنده ها و پارامترها را مشاهده کند. و گیرنده می تواند از این اطلاعات برای ایجاد معامله خود استفاده کند و با پرداخت کمیسیون بالاتر به معدنچی ، آن را به جبهه سوق دهد.

هر مزیتی که از طریق peering بدست آید ، پیشروی محسوب می شود ، نوعی حمله (شناخته شده حملات: جلو [درحالاجرا)

از investopedia.com:

پیش پرداخت زمانی است که کارگزار یا نهاد دیگری وارد تجارت شود زیرا آنها از معامله ای بزرگ و غیراخلاقی که بر قیمت دارایی تأثیر می گذارد آگاهی دارند و در نتیجه سود مالی احتمالی برای کارگزار حاصل می شود. همچنین اتفاق می افتد که یک کارگزار یا تحلیلگر قبل از توصیه شرکت خود برای خرید یا فروش سهام برای حساب خود اقدام به فروش یا فروش می کند.

در مورد ما ، یک شخص خارج از خانه کامل می تواند یک ربات برای نظارت بر قرارداد نگهبان راه اندازی کند. اگر ببیند شخصی به نام تابع کاملUnlock نامیده شده است (یعنی متولی در حال تعامل با دلار جمینی است) ، فوراً کلیه پارامترها را کپی می کند و این تابع را برای استخراج اتر که در آنجا انباشته شده است فراخوانی می کند. [19659002] برای مقابله با چنین حملاتی ، ما دوباره توصیه می کنیم از رویکرد الگوهای انعطاف پذیری مردمی استفاده کنید.

از این رو ، توصیه می کنیم مجهولات ناشناخته از تماس با عملکردی که برای متولیان در نظر گرفته شده است ، مسدود شود.

اجرای عملی حمله

اگرچه از نظر تئوری خطرناک است ، آسیب پذیری تشخیص داده شده در عمل نسبتاً خوش خیم است. به همین دلیل است: [

1. پرداخت های Antispam برای متولیان چنین سرمایه گذاری بزرگی مانند دلار جمینی ، نگرانی چندانی ندارد. سرمایه GUSD (کل حجم نشانه های صادر شده) در یک نقطه به 100 میلیون دلار رسید. حتی اکنون بیش از 5 میلیون دلار است.
2. پرداخت های Antispam هنوز در این قرارداد ظاهر نشده اند و ممکن است هرگز این کار را انجام ندهند ، زیرا متولی اصلی به هیچ وجه موظف به واریز آنها نیست (همه بقیه هستند).
3. اطلاع از آسیب پذیری ، کاربران می توانند به سادگی از عملکرد آسیب پذیر جلوگیری کنند یا قرارداد را به روز کنند.
4. در طول بررسی ، ما هیچ گونه آسیب پذیری را پیدا نکردیم که نشانه های GUSD را تهدید کند.

Gemini اظهار داشت: "ما این طرح را انتخاب کردیم زیرا جمینی قصد ندارد اتر را تحت فشار قرار دهد. شرایط عادی ، و در نتیجه ، ما یک تصمیم مبتنی بر ریسک اتخاذ کرده ایم که پیچیدگی پایگاه داده خود را صرفاً برای سود غیرمادی یک مکانیسم بازیابی قوی تر برای یک سهام نظری و اسمی ضد هرزنامه گسترش ندهیم. اولویت بندی امن ، کد ساده بهترین راه حل برای دلار جمینی و کاربران آن است. در آینده ممکن است در صورت تغییر خطر و تصمیم مناسب تر و پیچیده تر ، مجدداً تصمیم خود را تجدیدنظر کنیم. "

ما تصمیم گرفتیم تا این پست را با هماهنگی با Gemini منتشر کنیم ، با توجه به اینکه سهام ضد اسپیس فقط از طریق ترکیب خاص در معرض خطر هستند. و شرایط غیر محتمل ، و GUSD در معرض خطر نیست.

مجدداً ما به همه نیازهای یک رویکرد امنیتی جامع به ICO ها و سایر فعالیت های مرتبط با رمزهای ارز و بلاکچین ها را یادآوری می کنیم.