卡巴斯基在Winklevoss兄弟的Gemini Dollar（GUSD）中发现漏洞

卡巴斯基是一家专门从事虚拟安全的公司，在其官方博客中指出，Winklevoss兄弟的稳定币Gemini Dollar（GUSD）的智能合约中存在一个漏洞，该漏洞可能允许Front Running攻击窃取所有反垃圾邮件付款。根据该出版物，该漏洞是由卡巴斯基智能合约源代码审查发现的。

“请注意，尽管我们不确定报告中是否描述了任何代码缺陷，但提供的智能合约已经过修订。根据我们的《责任披露政策》，我们与Gemini安全团队联系以报告问题。他们告知我们，该问题在项目的设计阶段已得到考虑，但并未给GUSD带来任何风险。”

根据卡巴斯基的说法，双子座美元系统的创建者对其稳定币的智能合约进行了一些改进：

“他们将合同分为三个部分：代理（令牌持有人可以与之交互并执行操作的永久接口），存储（令牌持有人及其余额的映射）和Impl（底层逻辑）；描述逻辑的组件可以更新，并补充新功能，例如冻结资金的功能。同时，数据和接口保持不变；每个人都可以看到该更新；为了进行更新和控制，单独使用了一个智能的“托管”合同，该合同由多人（托管人）管理以提供额外的保护。如果保管人提出诉讼，则其他人必须在诉讼发生之前确认该诉讼。

但是，如果主要监护人以外的其他人根据托管合同提出提案，则他们必须支付1 ETH份额，并且如合同本身的评论所述，该反垃圾邮件措施旨在劝阻参与者不要提出太多请求。

这样，反垃圾邮件付款最终将由一个人承担：宣布批准特定建议/请求的人。

}其他{

if（地址（this）.balance> 0）{

//通过反垃圾邮件奖励发件人

//忽略发送成功（分配给?成功?，但这将被覆盖）

成功= msg.sender.send（地址（this）.balance）;

确定请求获得批准的人还将收到用ETH支付的所有反垃圾邮件付款。为此，他或她调用了智能合约功能completeUnlock并在参数上传递两个保管人的签名。

问题在于，以太坊与其他任何区块链一样，都会延迟执行请求。客户交易（汇款或调用函数）排队等待一段时间（通常为15秒或更长时间）。在此期间，任何人都可以查看其他以太坊用户的计划转移，包括值，接收者和参数。观看者可以使用此信息来创建自己的交易并推动交易，向矿工支付更高的佣金。

因此，恶意行为者可以执行“前线攻击”并窃取以Gemini Dollar（GUSD）进行的所有反垃圾邮件付款。在我们的案例中，局外人可以设置一个机器人来监视托管合同。如果有人意识到有人请求了该角色 completeUnlock（也就是说，托管人正在与Gemini Dollar互动），立即复制所有参数并调用该函数以提取累积的以太坊。

但是，该公司指出，考虑到反垃圾邮件支付仅占流通的GUSD的很小一部分，因此进行此类攻击的动机很小，此外，据卡巴斯基称，知道该漏洞的用户可以避免使用易受攻击的功能或更新合同。

据双子座说，他宣布：

“我们之所以选择这种设计，是因为Gemini并不打算将以太坊置于正常条件下，因此，我们基于没有实质性地扩展代码库复杂性的风险而做出决策，只是出于更健壮的恢复机制的非实质性利益。理论上和名义上的反垃圾邮件参与。优先考虑简单，安全的代码仍然是Gemini Dollar及其用户的最佳解决方案。将来，如果风险发生变化并且更昂贵，更复杂的合同变得合适，我们将能够审查此决定。”

另请阅读：双子座推出保险公司，承保最高2亿美元的托管权

—-

原文链接：https://www.criptofacil.com/kaspersky-encontra-vulnerabilidade-no-gemini-dollar-gusd-dos-irmaos-winklevoss/

原文作者：Luciano Rodrigues

编译者/作者：wanbizu AI

玩币族申明：玩币族作为开放的资讯翻译/分享平台，所提供的所有资讯仅代表作者个人观点，与玩币族平台立场无关，且不构成任何投资理财建议。文章版权归原作者所有。