Ethereum-Namensauktionen: Stopp wegen Bug

Die Namensauktionen für Ethereum Name Service (ETN) wurden wegen eines Fehlers gestoppt, durch den Namen an falsche Benutzer und für niedrigere Gebote vergeben wurden.

Fehlerhafte Dokumentation

Der ENS-Redakteur Brantly Millegan gab in einem Medium-Artikel am 30. September bekannt, dass die Namensauktion gestoppt werde. Er erklärte, dass der Großteil der ersten Auktionen erfolgreich abgeschlossen worden seien und nur wenige von dem Fehler betroffen waren. Die Tatsache, dass einige Auktionen falsch gelaufen seien, hätte zwei verschiedene Ursachen gehabt. Eine davon liege in der Dokumentation, nicht in der Software, so Millegan.

In der Ankündigung heißt es: "Einige Bieter erhielten falsche Informationen dazu, wie sie mit dem JavaScript SDK bieten können". Infolgedessen gaben sie ungültige Gebote mit falschen Zielfeldern ab. Das führte dazu, dass ihre Gebote in der Auktion nicht berücksichtigt wurden.

Schwachstelle entdeckt

Das zweite Problem - das in der Software liegt - ist eine Schwachstelle bei der Eingabevalidierung. Das machte es möglich, "Gebote auf einen Namen abzugeben, bei dem in Wirklichkeit ein anderer Name ausgegeben wurde". Böswillige Benutzer haben diese Schwachstelle genutzt, um sich selbst Namen, wie etwa defi.eth, wallet.eth, apple.eth zu geben.

Um die Sache in Ordnung zu bringen, erhalten die Bieter eine E-Mail mit Anweisungen, wie sie gültige Gebote nachträglich erneut abgeben können, so der Artikel. Gleichzeitig werden betroffene, nicht abgeschlossene Auktionen verlängert. Darüber hinaus wurden alle bis auf 16 Aktionen, die von der Schwachstelle betroffen waren, vor dem Abschluss gestoppt.

Ein teurer Fehler

Die Schwachstelle selbst wurde identifiziert und gepatcht, so dass solche Angriffe nicht mehr möglich sind. Dennoch räumte Millegan ein, dass Namen, die an die Angreifer nach abgeschlossenen Auktionen vergeben wurden, nicht widerrufen und an den richtigen Bieter zurückgegeben werden können. Die Tatsache, dass diese nicht widerrufen werden können, ist ein zweischneidiges Schwert, das auch seine Vorteile hat:

"ENS ist so konzipiert, dass wir .ETH-Namen nach ihrer Vergabe nicht mehr widerrufen können. Das ist ein so beabsichtigtes Feature von ENS, das den Inhabern von .ETH-Namen ein hohes Maß an Sicherheit bietet. Aber das bedeutet auch, dass Fehler, wie nun in diesem Fall, sehr teuer sein können."

Wie Cointelegraph kürzlich berichtete, wurde die Token-Swap-Wallet von Fusion Network gehackt. Dabei wurden etwa ein Drittel der FSN-Token gestohlen.