Токены Ethereum стоимостью $1 млрд уязвимы для «атаки поддельных депозитов»

Согласно новому исследованию, токены на блокчейне Ethereum стоимостью более 1 миллиарда долларов не имеют стандарта программного обеспечения, выпущенного в 2017 году, что делает их уязвимыми для взлома и вывода с торговых бирж.

По данным, уязвимость программного обеспечения, называемая эксплойтом поддельного депозита, была обнаружена у 7772 эмитентов токенов ERC-20.исследоватьиз Пекинского университета, Пекинского университета почты и телекоммуникаций, Чжэцзянского университета и Университета Квинсленда.

В исследовании говорится, что, манипулируя кодом в смарт-контрактах или программных скриптах токенов ERC-20, котирующихся на Криптовалюта биржах с несовершенными методами проверки транзакций, хакер может мошенническим путем выкачивать непомерные суммы средств практически бесплатно. Атака с поддельным депозитом может затем обрушить биржу, в результате чего держатели токенов ERC-20 и других криптовалют потеряют свои средства.

Читать дальше: Как работают смарт-контракты Ethereum ?

У некоторых держателей также могут возникнуть проблемы с доступом к коммунальным услугам, приобретенным за токены ERC-20, которые все больше привязаны к товарам и предметам первой необходимости, таким как энергия, недвижимость и страхование.

«Если будет осуществлена ​​атака с поддельным депозитом, это, безусловно, станет большой катастрофой для токена», — сказал ONE из исследователей, Хаоюй Ван, доцент кафедры компьютерных наук Пекинского университета почты и телекоммуникаций. «В худшем случае токен придется перевыпускать».

Возможные исправления

Поскольку смарт-контракты являются постоянными в блокчейне Ethereum и не могут быть отменены, бремя исправления процедур токенов ERC-20, которые уже подвержены атакам с поддельными депозитами, ложится на Криптовалюта биржи. Фабиан Фогельстеллер, разработчик Ethereum , создавший монеты ERC-20, сказал, что Криптовалюта биржи могут вносить вредоносные контракты токенов в черный список.

Читать дальше: Продажи токенов возобновятся в 2020 году

Доцент кафедры кибернетики Чжэцзянского университета Лэй У, второй член исследовательской группы, также предложил выпустить так называемые прокси-смарт-контракты, чтобы KEEP возможность замены старых смарт-контрактов Ethereum . Однако некоторые разработчики Ethereum избегают написания прокси-смарт-контрактов, поскольку они несут в себе собственные риски безопасности.

По словам Вана и Ву, для токенов ERC-20, находящихся в разработке, Ethereum Foundation рекомендует разработчикам блокчейна Ethereum внедрить стандарт программного обеспечения для защиты от невнимательных Криптовалюта бирж.

Как это работает: подделка транзакций

Смарт-контракт ERC-20 без стандарта программного обеспечения блокчейна Ethereum ЭИП-20, представленный в 2017 году, опирается на то, что известно в информатике как оператор условного программирования для проверки недостаточного баланса токенов. Условный оператор выводит оператор «return false», который блокирует завершение транзакции токена. Этот оператор «return false» становится основой для атаки поддельного депозита на Криптовалюта биржи, которые не выполняют проверки безопасности после вызова функций программирования «transfer» и «transferFrom».

Атака сначала работает путем выпуска смарт-контракта ERC-20 на Криптовалюта биржу и перевода ONE токена ERC-20 на счет биржи. На децентрализованной бирже программная функция «depositToken» затем может указать функции «transferFrom» внести любое количество токенов на счет злоумышленника. На централизованной бирже вместо этого вызывается функция «transfer», при этом поля смарт-контракта «_to» и «_value» устанавливаются на адрес счета злоумышленника и желаемую сумму токена.

Какие токены ERC-20 находятся под угрозой?

Согласно исследованию, уязвимые токены с наибольшими объемами торговли на децентрализованных биржах, CloudBric, MovieCredits, BullandBear, LOVE и EtherDOGE, имели небольшую активность, если вообще имели ее. Эти токены ERC-20 циркулируют на трех децентрализованных биржах, IDEX, DDEX и Ether Delta, которые исправили уязвимость в этом месяце, согласно исследованию исследователей.

Читать дальше: Объемы децентрализованных бирж выросли на 174% в июле, превысив 4,3 млрд долларов и установив второй рекорд подряд

Напротив, 7716 токенов ERC-20, уязвимых для атаки с поддельным депозитом — 99,2% из выявленных — котируются на централизованных биржах, таких как Binance, Coinbase, OkEx и Kraken. Пострадавшие токены на централизованных биржах, где торгуется основная часть токенов ERC-20, не соответствующих стандарту, были оценены в апреле более чем в 1,1 млрд долларов.

Токен BRC от Baer Chain, Basic Attention Token браузера Brave Политика конфиденциальности (BAT), токен HPT китайской Криптовалюта биржи Huobi, токен RPL сервиса приложений Rocket Pool Ethereum и токен PWR блокчейна электросетей Power Ledger имели самые высокие зарегистрированные рыночные капитализации уязвимых токенов, хранящихся на централизованных биржах. Согласно исследованию, пострадали приблизительно $391 000 в 87 000 BRC, $388 000 в 305 000 BAT, $63 000 в 1 000 HRT, $39 000 в 3 000 RPL и $28 000 в 50 000 PWR.

Ограниченная идентификация

Когда их спросили, специалисты по информатике отказались назвать затронутые монеты Ethereum , кроме тех, которые имеют пять крупнейших объемов на децентрализованных биржах и пять крупнейших рыночных капитализаций на централизованных биржах. Исследователи также не определили, какие централизованные биржи не предприняли рекомендуемые процедуры безопасности токенов Ethereum .

«Что касается уязвимостей и атак, которые мы выявили, некоторые из них были подтверждены», — сказал Ван. Ни исследователи, ни PeckShield, компания по безопасности блокчейна, которая сотрудничала с исследовательской группой, не решаются публично идентифицировать уязвимые токены, кроме 10 известных, сказал Ван.

Янь Чжу, директор по информационной безопасности Brave Software, заявил, что уязвимость не связана с кошельком браузера Brave, и что затронутые токены Basic Attention были развернуты без прокси-смарт-контрактов до того, как был принят стандарт блокчейна Ethereum EIP-20. измененныйв 2017 году для интеграции реализации программного обеспечения, которое предотвращает атаки с поддельными депозитами.

Читать дальше: Криптo биржа Gemini интегрируется с браузером Brave, ориентированным на конфиденциальность

Power Ledger, с другой стороны, развернул свои затронутые токены ERC-20 даже после того, как Ethereum Foundation выпустила обновленную реализацию программного обеспечения EIP-20. На данный момент Джон Булич, технический директор Power Ledger , советует клиентам Power Ledger «хранить свои собственные Криптo в собственных защищенных кошельках» и «не доверять централизованным биржам ничего, кроме своих текущих торговых запасов».

Пять известных эмитентов токенов, затронутых на централизованных биржах, не ответили на вопросы о том, проверяли ли они Криптовалюта биржи на предмет уязвимости.

Huobi, Baer Chain и Rocket Pool не ответили на просьбы прокомментировать ситуацию.