Tokens Ethereum no valor de US$ 1 bilhão vulneráveis ​​a 'ataque de depósito falso'

Mais de US$ 1 bilhão em tokens na blockchain Ethereum não possuem um padrão de software lançado em 2017, o que os coloca em risco de serem sequestrados e retirados das bolsas de negociação, de acordo com uma nova pesquisa.

A vulnerabilidade do software, chamada de exploração de depósito falso, foi identificada em 7.772 emissores de tokens ERC-20, de acordo compesquisarda Universidade de Pequim, da Universidade de Correios e Telecomunicações de Pequim, da Universidade de Zhejiang e da Universidade de Queensland.

A pesquisa afirma que, ao manipular o código nos contratos inteligentes, ou scripts de programação, de tokens ERC-20 listados em exchanges de Criptomoeda com métodos de verificação de transações deficientes, um hacker pode fraudar quantias exorbitantes de fundos a quase nenhum custo. O ataque de depósito falso pode então travar a exchange, fazendo com que os detentores dos tokens ERC-20 e outras criptomoedas percam seus fundos.

Leia Mais: Como funcionam os contratos inteligentes da Ethereum ?

Alguns detentores também podem ter problemas para acessar serviços públicos adquiridos com tokens ERC-20, que estão cada vez mais vinculados a bens e necessidades, como energia, imóveis e seguros.

“Se o ataque de depósito falso for realizado, com certeza será um grande desastre para o token”, disse um dos pesquisadores, Haoyu Wang, professor associado de ciência da computação da Universidade de Correios e Telecomunicações de Pequim. “Na pior das hipóteses, o token terá que ser reemitido.”

Possíveis correções

Como os contratos inteligentes são permanentes no blockchain Ethereum e não podem ser revertidos, o ônus recai sobre as exchanges de Criptomoeda para consertar os procedimentos de token ERC-20 já propensos ao ataque de depósito falso. Fabian Vogelsteller, o desenvolvedor do Ethereum que criou as moedas ERC-20, disse que as exchanges de Criptomoeda podem colocar contratos de token maliciosos na lista negra.

Leia Mais: As vendas de tokens estão de volta em 2020

O professor associado de ciberciência da Universidade de Zhejiang, Lei Wu, um segundo membro da equipe de pesquisa, também sugeriu lançar os chamados contratos inteligentes proxy para KEEP aberta a opção de substituir os antigos contratos inteligentes Ethereum . No entanto, alguns desenvolvedores Ethereum evitaram escrever contratos inteligentes proxy porque eles carregam seus próprios riscos de segurança.

Para tokens ERC-20 em desenvolvimento, a Ethereum Foundation recomenda que os desenvolvedores da blockchain Ethereum implementem o padrão de software de contrato inteligente de proteção como uma medida de segurança contra trocas de Criptomoeda desatentas, disseram Wang e Wu.

Como funciona: Duplicação de transações

Um contrato inteligente ERC-20 sem o padrão de software blockchain Ethereum EIP-20, introduzido em 2017, depende do que é conhecido na ciência da computação como uma declaração de programação condicional para verificar saldos de tokens insuficientes. A declaração condicional gera uma declaração “return false” que impede que uma transação de token seja encerrada. Essa declaração “return false” se torna a base para o ataque de depósito falso em bolsas de Criptomoeda que não realizam verificações de segurança após as funções de programação “transfer” e “transferFrom” serem chamadas.

O ataque funciona primeiro emitindo um contrato inteligente ERC-20 para uma exchange de Criptomoeda e transferindo um token ERC-20 para uma conta de exchange. Em uma exchange descentralizada, a função de programação “depositToken” pode então dizer à função “transferFrom” para depositar quantos tokens quiser na conta do invasor. Em uma exchange centralizada, a função “transfer” é chamada, com os campos “_to” e “_value” do contrato inteligente definidos para o endereço da conta do invasor e o valor do token desejado.

Quais tokens ERC-20 estão em risco?

Os tokens vulneráveis ​​com os maiores volumes de negociação em exchanges descentralizadas, CloudBric, MovieCredits, BullandBear, LOVE e EtherDOGE, tiveram pouca ou nenhuma atividade, de acordo com a pesquisa. Esses tokens ERC-20 estão circulando em três exchanges descentralizadas, IDEX, DDEX e Ether Delta, que corrigiram a vulnerabilidade este mês, de acordo com os pesquisadores do estudo.

Leia Mais: Volumes de exchanges descentralizadas aumentaram 174% em julho, ultrapassando US$ 4,3 bilhões e estabelecendo o segundo recorde consecutivo

Em contraste, 7.716 dos tokens ERC-20 vulneráveis ao ataque de depósito falso – 99,2% dos identificados – estão listados em exchanges centralizadas como Binance, Coinbase, OkEx e Kraken. Os tokens afetados em exchanges centralizadas, onde a maior parte dos tokens ERC-20 padrão ausentes estão sendo negociados, foram avaliados em mais de US$ 1,1 bilhão em abril.

Token BRC da Baer Chain, o Basic Attention Token do navegador de Política de Privacidade Brave (BAT), o token HPT da bolsa de Criptomoeda chinesa Huobi, o token RPL do serviço de aplicativo Rocket Pool Ethereum e o token PWR do blockchain da rede elétrica Power Ledger tiveram as maiores capitalizações de mercado registradas dos tokens vulneráveis ​​mantidos em bolsas centralizadas. Aproximadamente US$ 391.000 em 87.000 BRC, US$ 388.000 em 305.000 BAT, US$ 63.000 em 1.000 HRT, US$ 39.000 em 3.000 RPL e US$ 28.000 em 50.000 PWR foram afetados, disse a pesquisa.

Identificação limitada

Quando questionados, os cientistas da computação se recusaram a identificar as moedas Ethereum afetadas além daquelas com os cinco maiores volumes em exchanges descentralizadas e as cinco maiores capitalizações de mercado em exchanges centralizadas. Os pesquisadores também não determinaram quais exchanges centralizadas não realizaram os procedimentos recomendados de segurança de tokens Ethereum .

“Para as vulnerabilidades e ataques que identificamos, alguns deles foram confirmados”, disse Wang. Nem os pesquisadores nem a PeckShield, uma empresa de segurança de blockchain que colaborou com a equipe de pesquisa, estão escolhendo identificar publicamente tokens vulneráveis além dos 10 que são conhecidos, disse Wang.

Yan Zhu, diretor de segurança da informação da Brave Software, disse que a vulnerabilidade não está vinculada à carteira do navegador Brave e que os Basic Attention Tokens afetados foram implantados sem contratos inteligentes de proxy antes do padrão EIP-20 do blockchain Ethereum ser modificadoem 2017 para integrar a implementação de software que previne o ataque de depósito falso.

Leia Mais: Gemini Cripto Exchange integra-se com o navegador Brave focado em privacidade

O Power Ledger, por outro lado, implantou seus tokens ERC-20 afetados mesmo depois que a Ethereum Foundation lançou a implementação atualizada do software EIP-20. Por enquanto, John Bulich, diretor técnico do Power Ledger , aconselha os clientes do Power Ledger a “manter seus próprios Cripto em suas próprias carteiras seguras” e “não confiar em exchanges centralizadas nada além de seu estoque de negociação atual”.

Os cinco emissores conhecidos dos tokens afetados nas bolsas centralizadas não responderam às perguntas sobre se verificaram com as bolsas de Criptomoeda sobre a vulnerabilidade.

Huobi, Baer Chain e Rocket Pool não responderam aos pedidos de comentários.