Serviço de leilão de nomes da Ethereum é suspenso por conta de um bug

Os leilões de nomes do Ethereum Name Service (ENS) foram suspensos devido a um bug que resultou na atribuição de nomes a usuários errados e por lances mais baixos.

Documentação defeituosa

O editor do ENS, Brantly Millegan, anunciou a suspensão do serviço de leilão de nomes em um artigo publicado no Medium em 30 de setembro. Ele observou que a maioria dos primeiros leilões foi concluída com êxito e apenas alguns foram afetados pelo bug.

O resultado anômalo de alguns leilões teve duas causas distintas, uma das quais está na documentação, não no software, de acordo com Millegan.

De acordo com o anúncio, "alguns licitantes receberam informações incorretas sobre como fazer lances usando o JavaScript SDK". Como resultado, eles enviaram lances inválidos com campos de destino incorretos, o que significa que seus lances não foram considerados no leilão.

Uma vulnerabilidade descoberta

O segundo problema - este enraizado no software - é uma vulnerabilidade de validação de entrada que permitiu “fazer lances em um nome que realmente emitiu um nome diferente”. Usuários maliciosos se valeram dessa vulnerabilidade para emitir os nomes defi.eth, wallet.eth, apple.eth e outros.

Na tentativa de esclarecer as coisas, os licitantes receberão instruções sobre como reenviar lances válidos, de acordo com o artigo. Ao mesmo tempo, os leilões afetados não finalizados serão estendidos. Além disso, todos, exceto 16 afetados pelos leilões de vulnerabilidade, foram suspensos antes da finalização.

Um erro caro

A vulnerabilidade em si foi identificada e corrigida; portanto, ataques desse tipo não serão mais possíveis. Ainda assim, Millegan admite que nomes que foram atribuídos a atacantes em leilões finalizados não podem ser revogados e devolvidos ao licitante correto.

Esse recurso é uma faca de dois gumes que também tem suas vantagens:

"O ENS foi projetado para que não possamos revogar nomes .ETH depois que eles forem emitidos. Esse é um recurso intencional do ENS que garante aos proprietários do .ETH um alto grau de segurança. Mas isso também significa que erros, como neste caso, podem custar caro.”

Como o Cointelegraph reportou recentemente, a swap wallet do token da Fusion Network foi comprometida, resultando em aproximadamente um terço dos tokens FSN sendo roubados.