Уязвимость в клиенте NEO позволяет удаленно выводить токены пользователей
Специалисты по кибербезопасности китайского технологического гиганта Tencent обнаружили баг в клиенте NEO, позволяющий хакерам удаленно воровать токены с кошельков пользователей, сообщает Block Manity со ссылкой на китайскую социальную платформу Weibo.
В Tencent рекомендуют держателям нод обновить конфигурацию по умолчанию до последней доступной версии ПО, а также вручную изменить адрес кошелька.
Одновременно с этим, специалисты советуют избегать использования вызова удаленных процедур или же изменить порт для осуществления RPC-функций.
Однако главный разработчик протокола NEO Эрик Чзан заявил, что заявленная уязвимость не коснется рядовых пользователей, поскольку они не используют специализированные функции.
Erik Zhang @neoerikzhang, founder and core developer of #NEO, denied the risk of remote token theft for normal users and explained the reasons from the technical point of view. See report below👇 pic.twitter.com/yKfXYbD8bs
— NEO Smart Economy (@NEO_Blockchain) 2 декабря 2018 г.
Напомним, в мае в код смарт-контрактов NEO была обнаружена уязвимость с ограниченной степенью риска, которая затронула несколько токенов стандарта NEP-5. Изменив параметр totalSupply внутри контракта, злоумышленник мог сжечь определенное количество токенов или увеличить их отображаемое число.