Tijdelijke actie: Maak een account op Bitvavo en krijg €25 cadeau!
Bitvavo: Ontvang €25
Welkomstbonus!
De ‘Ethereum Name Service’ (ETN) naamveilingen zijn tijdelijk stopgezet vanwege een fout in het systeem. Deze bug leidde er toe dat verkeerde gebruikers met vaak lagere biedingen aan de naamveilingen werden toegekend.
Er zijn twee oorzaken gevonden voor het betreffende probleem. Één hiervan ligt aan de documentatie en niet specifiek aan de software. Zo kregen sommige gebruikers onjuiste informatie over hoe zij konden bieden met behulp van de JavaScript SDK. Deze SDK biedt gebruikers een uitgebreide set client-side functionaliteit, bijvoorbeeld voor het toevoegen van sociale plug-ins, de Facebook Login en toegang tot de Graph-API.
Het gevolg hiervan was echter dat er ongeldige biedingen met verkeerde doelvelden werden ingevuld Hierdoor werden deze biedingen verkeerd opgevat door het systeem en hierdoor niet meegenomen in de veilingen.
Tevens was er een software-fout gevonden. Zo was er namelijk een kwetsbaarheid gevonden in de invoervalidatie. Met deze validatie kunnen biedingen worden geplaatst op een naam. Door de bug konden kwaadaardige echter een bod plaatsen op een veiling die eigenlijk door een andere gebruiker was gewonnen. Deze bug is dan ook misbruikt; naar verluidt zijn onder andere de namen apple.eth, defi.eth en wallet.eth op deze manier toegekend aan andere gebruikers.
Het bedrijf probeert beide problemen gezamenlijk op een zo goed mogelijke manier op te lossen. Zo kunnen gebruikers via een email instructies ontvangen waarmee zij eerdere biedingen nu alsnog kunnen indienen. Het bedrijf was nog optijd: de bug werd gevonden voordat alle getroffen veilingen waren afgerond.
Het beveiligingslek is inmiddels verholpen zodat dergelijke aanvallen niet meer kunnen worden uitgevoerd. De veilingen kunnen echter niet meer worden ingetrokken en worden teruggegeven aan de juiste bieder. Dit komt vanwege het feit dat het systeem zo is ontworpen dat .ETH-namen niet meer kunnen worden ingetrokken nadat deze zijn uitgegeven. Dit is bevorderlijk voor beveiliging. Hierdoor kan dit echter nog wel eens een duur foutje worden voor het bedrijf.