Неисправная документация
Редактор ENS Брантли Миллеган (Brantly Millegan) объявил об остановке службы аукциона имен в опубликованной статье Medium 30 сентября. Он отметил, что большинство первых аукционов завершилось успешно, и только несколько из них были затронуты этой ошибкой. По словам Миллегана, аномальный результат некоторых аукционов имел две разные причины, одна из которых связана с документацией, а не с программным обеспечением.
Согласно объявлению, «некоторые участники торгов получили неверную информацию о том, как делать ставки с помощью JavaScript SDK». В результате они подали недопустимые предложения с неправильными целевыми полями, что означало, что их предложения не были учтены на аукционе.
Обнаружена уязвимость.
Вторая проблема, коренящаяся в программном обеспечении, — это уязвимость, связанная с проверкой входных данных, которая позволяла «делать ставки на имя, которое фактически выдало другое имя». По сообщениям, злоумышленники использовали эту уязвимость, чтобы выдать себе имена defi.eth, wallet.eth, apple.eth и другие.
В соответствии с этой статьей участники торгов получат по электронной почте инструкции по повторной подаче действительных предложений. В то же время незаконные аукционы будут продлены. Кроме того, все, кроме 16, затронутые аукционами уязвимостей, были остановлены до завершения.
Дорогостоящая ошибка.
Сама уязвимость была идентифицирована и исправлена, поэтому подобные атаки больше не будут возможны. Тем не менее, Миллеган признает, что имена, присвоенные злоумышленникам на завершенных аукционах, не могут быть отозваны и возвращены правильному участнику аукциона. Эта особенность является обоюдоострым мечом, который также имеет свои преимущества:
«ENS разработан таким образом, что мы не можем отозвать имена .ETH после того, как они были выданы. Это преднамеренная особенность ENS, которая обеспечивает владельцам имен. ETH высокую степень безопасности. Но это также означает, что ошибки, такие как в этом случае, могут быть дорогостоящими».