I token Ethereum del valore di 1 miliardo di dollari sono vulnerabili al "Fake Deposit Attack"

Secondo una nuova ricerca, oltre 1 miliardo di dollari di token sulla blockchain Ethereum non rispettano uno standard software rilasciato nel 2017, il che ne predispone il dirottamento e l'eliminazione dagli exchange di trading.

La vulnerabilità del software, chiamata exploit di deposito falso, è stata individuata in 7.772 emittenti di token ERC-20, secondoricercapresso l'Università di Pechino, l'Università delle Poste e delle Telecomunicazioni di Pechino, l'Università di Zhejiang e l'Università del Queensland.

La ricerca afferma che manipolando il codice negli smart contract, o script di programmazione, dei token ERC-20 quotati sugli exchange Criptovaluta con metodi di verifica delle transazioni carenti, un hacker può sottrarre fraudolentemente quantità esorbitanti di fondi a costi pressoché nulli. L'attacco di deposito falso potrebbe quindi far crollare l'exchange, causando la perdita dei fondi ai detentori dei token ERC-20 e di altre criptovalute.

Continua a leggere: Come funzionano gli smart contract Ethereum ?

Alcuni titolari potrebbero anche avere difficoltà ad accedere ai servizi di pubblica utilità acquistati con i token ERC-20, sempre più legati a beni e necessità quali energia, immobili e assicurazioni.

"Se l'attacco al deposito falso viene eseguito, è sicuramente un grande disastro per il token", ha affermato ONE dei ricercatori, Haoyu Wang, professore associato di informatica presso l'Università di Poste e Telecomunicazioni di Pechino. "Nel caso peggiore, il token deve essere riemesso".

Possibili soluzioni

Poiché i contratti intelligenti sono permanenti sulla blockchain Ethereum e non possono essere annullati, l'onere ricade sugli exchange Criptovaluta per correggere le procedure dei token ERC-20 già soggette all'attacco di deposito falso. Fabian Vogelsteller, lo sviluppatore Ethereum che ha creato le monete ERC-20, ha affermato che gli exchange Criptovaluta possono mettere nella blacklist i contratti di token dannosi.

Continua a leggere: Le vendite di token sono tornate nel 2020

Il professore associato di cyber-scienza della Zhejiang University Lei Wu, un secondo membro del team di ricerca, ha anche suggerito di rilasciare i cosiddetti contratti intelligenti proxy per KEEP aperta l'opzione di sostituire i vecchi contratti intelligenti Ethereum . Tuttavia, alcuni sviluppatori Ethereum hanno evitato di scrivere contratti intelligenti proxy perché comportano rischi per la sicurezza.

Per i token ERC-20 in fase di sviluppo, la Fondazione Ethereum raccomanda agli sviluppatori della blockchain Ethereum di implementare lo standard software di protezione per contratti intelligenti come misura di sicurezza contro gli scambi di Criptovaluta disattenti, hanno affermato Wang e Wu.

Come funziona: duplicazione delle transazioni

Uno smart contract ERC-20 senza lo standard software blockchain Ethereum EIP-20, introdotto nel 2017, si basa su ciò che in informatica è noto come istruzione di programmazione condizionale per verificare i saldi insufficienti dei token. L'istruzione condizionale genera un'istruzione "return false" che impedisce la terminazione di una transazione token. Questa istruzione "return false" diventa la base per l'attacco di deposito falso sugli exchange Criptovaluta che non eseguono controlli di sicurezza dopo che le funzioni di programmazione "transfer" e "transferFrom" sono state chiamate.

L'attacco funziona innanzitutto emettendo uno smart contract ERC-20 a un exchange Criptovaluta e trasferendo ONE token ERC-20 a un account di exchange. Su un exchange decentralizzato, la funzione di programmazione "depositToken" può quindi dire alla funzione "transferFrom" di depositare quanti token desidera nell'account dell'attaccante. Su un exchange centralizzato, viene invece chiamata la funzione "transfer", con i campi "_to" e "_value" dello smart contract impostati sull'indirizzo dell'account dell'attaccante e sulla quantità di token desiderata.

Quali token ERC-20 sono a rischio?

I token vulnerabili con i maggiori volumi di trading sugli exchange decentralizzati, CloudBric, MovieCredits, BullandBear, LOVE ed EtherDOGE, hanno avuto poca, se non nessuna attività, secondo la ricerca. Questi token ERC-20 stanno circolando su tre exchange decentralizzati, IDEX, DDEX ed Ether Delta, che hanno patchato la vulnerabilità questo mese, secondo i ricercatori dello studio.

Continua a leggere: I volumi degli exchange decentralizzati sono aumentati del 174% a luglio, superando i 4,3 miliardi di dollari e stabilendo il secondo record consecutivo

Al contrario, 7.716 dei token ERC-20 vulnerabili all'attacco di deposito falso, ovvero il 99,2% di quelli identificati, sono quotati su exchange centralizzati come Binance, Coinbase, OkEx e Kraken. I token interessati su exchange centralizzati, dove viene scambiata la maggior parte dei token ERC-20 standard mancanti, sono stati valutati a più di 1,1 miliardi di $ ad aprile.

Il token BRC di Baer Chain, il Basic Attention Token del browser web Privacy Brave (BAT), il token HPT dell'exchange Criptovaluta cinese Huobi, il token RPL del servizio app Ethereum Rocket Pool e il token PWR della blockchain della rete elettrica Power Ledger hanno avuto le più alte capitalizzazioni di mercato registrate tra i token vulnerabili detenuti su exchange centralizzati. Circa $ 391.000 in 87.000 BRC, $ 388.000 in 305.000 BAT, $ 63.000 in 1.000 HRT, $ 39.000 in 3.000 RPL e $ 28.000 in 50.000 PWR sono stati interessati, secondo la ricerca.

Identificazione limitata

Quando è stato chiesto, gli informatici hanno rifiutato di identificare le monete Ethereum interessate oltre a quelle con i primi cinque volumi sugli exchange decentralizzati e le prime 5 capitalizzazioni di mercato sugli exchange centralizzati. I ricercatori non hanno inoltre determinato quali exchange centralizzati non abbiano intrapreso le procedure di sicurezza consigliate per i token Ethereum .

"Per le vulnerabilità e gli attacchi che abbiamo identificato, alcuni di essi sono stati confermati", ha affermato Wang. Né i ricercatori né PeckShield, un'azienda di sicurezza blockchain che ha collaborato con il team di ricerca, hanno scelto di identificare pubblicamente token vulnerabili diversi dai 10 noti, ha affermato Wang.

Yan Zhu, responsabile della sicurezza informatica di Brave Software, ha affermato che la vulnerabilità non è collegata al portafoglio del browser Brave e che i Basic Attention Token interessati sono stati distribuiti senza contratti intelligenti proxy prima che fosse implementato lo standard EIP-20 della blockchain Ethereum . modificatonel 2017 per integrare l'implementazione software che previene l'attacco ai falsi depositi.

Continua a leggere: Gemini Cripto Exchange si integra con il browser Brave incentrato sulla privacy

Power Ledger, d'altro canto, ha distribuito i suoi token ERC-20 interessati anche dopo che la Ethereum Foundation ha rilasciato l'implementazione software EIP-20 aggiornata. Per ora, John Bulich, direttore tecnico Power Ledger , consiglia ai clienti Power Ledger di "detenere i propri asset Cripto nei propri portafogli sicuri" e di "non fidarsi degli exchange centralizzati con nulla di più del loro attuale stock di trading".

I cinque noti emittenti dei token interessati sugli exchange centralizzati non hanno risposto alle domande in merito all'eventuale verifica della vulnerabilità presso gli exchange Criptovaluta .

Huobi, Baer Chain e Rocket Pool non hanno risposto alle richieste di commento.