Vulnerabilidad en Ethereum Name Service (ENS) (CVE-2023-38698)

Ethereum Name Service (ENS) es un sistema de nombres distribuido, abierto y extensible basado en la blockchain de Ethereum. Según la documentación, los controladores pueden registrar nuevos dominios y ampliar la caducidad de los existentes, pero no pueden cambiar la titularidad ni reducir el tiempo de caducidad de los dominios existentes. Sin embargo, un análisis preliminar sugiere que un controlador controlado por un atacante puede ser capaz de reducir el tiempo de expiración de los dominios existentes debido a un desbordamiento de enteros en la función renew. La vulnerabilidad reside en `@ensdomains/ens-contracts` anterior a la versión 0.0.22.<br /> <br /> Si se explota con éxito, esta vulnerabilidad permitiría a los atacantes forzar la expiración de cualquier registro ENS, permitiéndoles en última instancia reclamar para sí los dominios afectados. Actualmente, se requeriría un DAO malicioso para explotarla. No obstante, cualquier vulnerabilidad presente en los controladores podría hacer que este problema pudiera explotarse en el futuro. Una preocupación adicional es la posibilidad de descuentos en la renovación. Si ENS decide implementar un sistema que ofrezca dominios .eth ilimitados por una tarifa fija en el futuro, la vulnerabilidad podría ser explotable por cualquier usuario debido al reducido coste de ataque.<br /> <br /> La versión 0.0.22 contiene un parche para este problema. Mientras el coste de registro siga siendo lineal o superlineal en función de la duración del registro, o limitado a un máximo razonable (por ejemplo, 1 millón de años), esta vulnerabilidad sólo podría ser explotada por una DAO maliciosa. Por lo tanto, la solución provisional es no tomar ninguna medida.