以太坊发现的另一个漏洞可能会在转账时消耗大量Gas

蜜蜂财经编译报道：在11月21日发布的一篇博文中，以太坊智能合约和DApp开发团队Level K声称发现了以太坊框架的漏洞，该漏洞可能导致用户在转账时花费大量资金。 气体。 该公司透露，大多数处于风险中的交易所都知道该漏洞，并安装了软件补丁来遏制威胁。

当ETH被发送到某个地址时，该地址就会出现漏洞，然后该地址就可以执行任何由交易发起者付费的打包行为，这就带来了一个“可怕”的风险——作恶者的行为，其目的是对互联网用户造成伤害。 理论上，如果交易所没有 gas limit 等保护措施，攻击者将能够让交易发起方（如交易所）支付任意数额的打包费用。

通过在接收 ETH 的同时产生大量 Gas，这种恶意攻击可以让恶意者获利，至少在理论上是这样。 更重要的是，这种风险不仅限于 ETH，还包括所有基于以太坊的代币，例如基于 ERC-721 和 ERC-20 标准构建的代币。 没有为使用这些代币的交易设置 gas 限制的交易所可能最终会在执行合约调用以启用转账的过程中支付大笔打包费用。

Level K 发表了一篇文章以太坊转账要多久，用一个假设的案例研究解释了这种威胁以太坊转账要多久，摘录如下：“在最简单的利用场景中，Alice 发起了一笔交易，Bob 想要破坏它。Bob 可以通过该类型的回退函数将提款定向到合约地址他控制。如果Alice忘记设置合理的gas limit，她将从她的热钱包中支付交易费用。如果有足够的交易，Bob可以吸干Alice的资金。如果Alice没有实施Know Your Customer (KYC)策略， Bob也可以创建多个账户来规避单个账户的取款限制。另外，如果Bob还想赚钱，他可以在他的备份功能中添加GasToken，一边赚钱一边耗尽Alice的钱包。”

根据Level K提供的信息，他们已经在11月13日私下通知了可能受此漏洞影响的交易所。由于无法准确说出哪些交易不受保护，因此通知尽可能多地发送给交易所。 所有人都实施了补丁来解决这个问题。