Эксперты Netta Lab опубликовали в Twitter сообщение об уязвимости в виртуальной машине Ethereum. Она позволяет исполнять смарт-контракты в сети бесконечно, не оплачивая газ.
Специалисты уже обратились к оператору американской базы данных уязвимостей, где зарегистрировали соответствующее открытие. Но некоторые эксперты ставят обнаружение уязвимости под сомнение.
Так, в Google по запросу «Netta Lab» выдается сайт проекта netto.io. Компания-владелец сайта действительно специализируется на аудите смарт-контрактов под брендом Netta Lab, но адреса Twitter-аккаунтов проектов не совпадают. Профиль, с которого сообщили об уязвимости, зарегистрировали несколько дней назад.
Впрочем, создатель проекта NEO Да Хонгвей связался с CEO Netta Labs и попросил исследователей провести аудит виртуальной машины NEO. Он подтвердил, что опасения не беспочвенны:
Я коротко поговорил с главой [Netta Labs]. Уязвимость выглядит довольно серьезной.
Создатель Ethereum Виталик Бутерин на Reddit написал, что уязвимость имеется не в оригинальной виртуальной машине, а в её Python-имплементации виртуальной машины, о которой впервые написали на GitHub 9 дней назад.
Таким образом, основные клиенты go-ethereum, parity и cpp-ethereum проблема не затрагивает.