Токени Ethereum вартістю 1 мільярд доларів уразливі до «атаки на фальшиві депозити»

Згідно з новими дослідженнями, токени вартістю понад 1 мільярд доларів у блокчейні Ethereum не мають стандарту програмного забезпечення, випущеного в 2017 році, що налаштовує їх на викрадення та вилучення з торгівельних бірж.

Згідно з даними, уразливість програмного забезпечення, яка називається експлойтом підроблених депозитів, була виявлена ​​у 7772 емітентів токенів ERC-20. дослідження з Пекінського університету, Пекінського університету пошти та телекомунікацій, Чжецзянського університету та Університету Квінсленда.

У дослідженні стверджується, що шляхом маніпулювання кодом у смарт-контрактах або сценаріях програмування токенів ERC-20, розміщених на Криптовалюта біржах, з неякісними методами перевірки транзакцій, хакер може шахрайським шляхом майже безкоштовно викачати непомірні суми коштів. Атака на фальшивий депозит може призвести до збою біржі, внаслідок чого власники токенів ERC-20 та інших криптовалют втратять свої кошти.

Читайте також: Як працюють розумні контракти Ethereum ?

Деякі власники також можуть мати проблеми з доступом до комунальних послуг, придбаних за токени ERC-20, які все більше пов’язані з товарами та предметами першої необхідності, такими як енергія, нерухомість і страхування.

«Якщо атаку на фальшивий депозит буде здійснено, це, безсумнівно, стане великою катастрофою для токена», — сказав ONE із дослідників Хаоюй Ван, доцент кафедри інформатики Пекінського університету пошти та телекомунікацій. «У гіршому випадку токен потрібно перевипустити».

Можливі виправлення

Оскільки смарт-контракти є постійними в блокчейні Ethereum і не можуть бути скасовані, на Криптовалюта біржах лежить обов’язок виправити процедури токенів ERC-20, які вже схильні до атаки на підроблені депозити. Фабіан Фогельстеллер, розробник Ethereum , який створив монети ERC-20, сказав, що Криптовалюта біржі можуть заносити в чорний список контракти зловмисних токенів.

Читайте також: Продажі токенів повертаються у 2020 році

Доцент кібернауки Університету Чжецзяна Лей Ву, другий член дослідницької групи, також запропонував випустити так звані смарт-контракти проксі, щоб KEEP відкритою можливість заміни старих смарт-контрактів Ethereum . Однак деякі розробники Ethereum уникають написання смарт-контрактів проксі, оскільки вони несуть власні ризики для безпеки.

Для токенів ERC-20, які знаходяться в розробці, Ethereum Foundation рекомендує розробникам блокчейнів Ethereum запровадити захисний стандарт програмного забезпечення для смарт-контрактів як захист від неуважних бірж Криптовалюта , сказали Ван і Ву.

Як це працює: дублювання транзакцій

Розумний контракт ERC-20 без стандарту програмного забезпечення блокчейну Ethereum ЕІП-20, представлений у 2017 році, покладається на те, що в інформатиці називається оператором умовного програмування для перевірки недостатніх балансів токенів. Умовний оператор виводить оператор «return false», який блокує припинення транзакції маркера. Ця заява «повернути помилку» стає основою для атаки підроблених депозитів на Криптовалюта біржах, які не виконують перевірки безпеки після виклику функцій програмування «transfer» і «transferFrom».

Спочатку атака працює шляхом видачі смарт-контракту ERC-20 на біржу Криптовалюта і переказу ONE токена ERC-20 на обліковий запис біржі. На децентралізованій біржі функція програмування «depositToken» може вказати функції «transferFrom» внести будь-яку кількість токенів на рахунок зловмисника. На централізованій біржі натомість викликається функція «трансфер», при цьому в полях «_to» і «_value» смарт-контракту встановлюється адреса облікового запису зловмисника та бажана сума токена.

Які токени ERC-20 знаходяться під загрозою?

Згідно з дослідженням, уразливі токени з найбільшими обсягами торгів на децентралізованих біржах, CloudBric, MovieCredits, BullandBear, LOVE та EtherDOGE, мали незначну активність, якщо взагалі її мали. За словами дослідників дослідження, ці токени ERC-20 циркулюють на трьох децентралізованих біржах IDEX, DDEX і Ether Delta, які цього місяця виправили вразливість.

Читайте також: Обсяги децентралізованих бірж зросли на 174% у липні, перевищивши 4,3 млрд доларів і встановивши другий рекорд поспіль

Навпаки, 7716 токенів ERC-20, уразливих до атаки на підроблені депозити – 99,2% виявлених – зареєстровані на централізованих біржах, таких як Binance, Coinbase, OkEx і Kraken. Постраждалі токени на централізованих біржах, де торгується основна частина відсутніх стандартних токенів ERC-20, у квітні оцінювалися в понад 1,1 мільярда доларів.

Токен BRC Baer Chain, Basic Attention Token веб-браузера Brave для Політика конфіденційності (BAT), токен HPT китайської Криптовалюта біржі Huobi, токен RPL сервісу програми Rocket Pool Ethereum і токен PWR блокчейну електричної мережі Power Ledger мали найвищу зареєстровану ринкову капіталізацію вразливих токенів, що зберігаються на централізованих біржах. Згідно з дослідженням, постраждали приблизно 391 000 доларів у 87 000 BRC, 388 000 доларів у 305 000 BAT, 63 000 доларів у 1 000 HRT, 39 000 доларів у 3 000 RPL та 28 000 доларів у 50 000 PWR.

Обмежена ідентифікація

Коли його запитали, комп’ютерні науковці відмовилися визначити постраждалі монети Ethereum , окрім тих, які мають п’ять найбільших обсягів на децентралізованих біржах і 5 найбільших ринкових капіталізацій на централізованих біржах. Дослідники також не визначили, які централізовані біржі не застосували рекомендовані процедури безпеки токенів Ethereum .

«Щодо вразливостей і атак, які ми виявили, деякі з них були підтверджені», — сказав Ван. Ні дослідники, ні PeckShield, компанія з безпеки блокчейнів, яка співпрацювала з дослідницькою групою, не вирішують публічно ідентифікувати вразливі токени, крім 10 відомих, сказав Ван.

Янь Чжу, керівник відділу інформаційної безпеки Brave Software, сказав, що вразливість не пов’язана з гаманцем браузера Brave, і що уражені базові маркери уваги були розгорнуті без смарт-контрактів проксі до стандарту блокчейну Ethereum EIP-20. змінений у 2017 році для інтеграції реалізації програмного забезпечення, яке запобігає фальшивим депозитним атакам.

Читайте також: Gemini Крипто Exchange інтегрується з браузером Brave, орієнтованим на конфіденційність

Power Ledger, з іншого боку, розгорнув свої постраждалі токени ERC-20 навіть після того, як Ethereum Foundation випустив оновлену програмну реалізацію EIP-20. На даний момент Джон Буліч, технічний директор Power Ledger , радить клієнтам Power Ledger «тримати власні Крипто у власних безпечних гаманцях» і «не довіряти централізованим біржам нічого більше, ніж їхні поточні торгові акції».

П’ять відомих емітентів токенів, які постраждали на централізованих біржах, не відповіли на запити про те, чи перевіряли вони на Криптовалюта біржах цю вразливість.

Huobi, Baer Chain і Rocket Pool не відповіли на запити про коментарі.