Ethereum Name Service (ETN)  ihaleleri, isimlerin daha düşük teklifle yanlış kullanıcılara verilmesiyle sonuçlanan hata nedeniyle durduruldu

Hatalı belgeleme

ENS editörü Brantly Millegan 30 Eylül'de yayınlanan Medium gönderisinde isim ihalesi hizmetinin durdurulduğunu duyurdu. Millegan, ilk ihalelerin çoğunun başarıyla tamamlandığını ve yalnızca küçük bir kısmının hatadan etkilendiğini açıkladı. Millegan'a göre sonuçların hata vermesinin iki ayrı sebebi var ve onlardan biri yazılımdan değil, belgelemeden kaynaklanıyor.

Duyuruya göre teklif verenlerden bazılarına JavaScript SDK kullanarak teklif verme süreciyle ilgili yanlış bilgi verildi. Bunun sonucunda geçersiz teklif verdiler ve teklifleri ihalede göz önünde bulundurulmadı.

Güvenlik zafiyeti keşfedildi

Diğer sebep ise yazılım ile ilgili. Yazılımda bulunan bir girdi geçerleme zafiyeti, aslında farklı bir isim bildiren isimler üzerinden teklif vermeye izin verdi. Kötü niyetli kullanıcılar söylenene göre bu zafiyeti kendilerine defi.eth, wallet.eth, apple.eth gibi isimler vermek için kullandı.

Bu durumu düzeltmek adına teklif verenlere geçerli teklifleri nasıI tekrar sunacakları ile ilgili bir yönerge gönderilecek. Hatadan etkilenen ve sonuçlanmamış ihaleler ise uzatılacak. Zafiyetten etkilenen 16 ihale hariç tüm ihaleler sonuçlanmadan önce durdurulmuştu.

Pahalıya mal olan bir hata

Sistem açığı farkedildi ve düzeltildi, yani bu tür bir saldırının bir daha yaşanması mümkün değil. Yine de Millegan, tamamlanan ihalelerin ardından saldırganlara verilen isimlerin geri alınıp doğru kişilere verilmesinin mümkün olmayacağını açıkladı. Bu özelliğin örnekteki gibi dezavantajları olsa da yararlı olduğu durumlar da var:

“ENS, .ETH isimleri verildikten sonra geri döndürülemeyecek şekilde tasarlandı. Bu özellikl .ETH isim sahiplerine yüksek derecede güvenlik sağlıyor. Fakat bu tür hatalarda da pahalıya mal olabiliyor.”

Cointelegraph'ın geçtiğimiz günlerdeki haberine göre Fusion Network’ün token swap cüzdanı saldırıya uğradı ve FSN tokenlarının üçte biri çalındı.