på krypto
Ifølge ny forskning mangler over 1 milliard dollars tokens på Ethereum-blockchain en softwarestandard, der blev frigivet i 2017, hvilket gør dem sårbare over for at blive kapret eller trukket tilbage fra handelsindskud.
Falske depositum udnyttelse
Softwaresårbarheden, kaldet en falsk depositumudnyttelse, er blevet identificeret i 7.772 ERC-20-tokenudstedere, ifølge forskning fra Peking University, Beijing University of Posts and Telecommunications, Zhejiang University og University of Queensland.
Forskningen hævder, at ved at manipulere koden i smarte kontrakter eller programmering af scripter af ERC-20-tokens, der er opført på kryptokurrencyudvekslinger, der understøtter dårlige transaktionsbekræftelsesmetoder, kan en hacker bedragerisk stjæle ublu mængder af midler næsten uden omkostninger. .
Det falske indskudsangreb kan derfor nedbringe børsen og få indehaverne af ERC-20-tokens og andre kryptokurver til at miste deres midler. Nogle indehavere kan også have problemer med at få adgang til forsyningsselskaber købt med ERC-20-tokens, som i stigende grad er knyttet til aktiver og behov som energi, fast ejendom og forsikring.
Mulige løsninger
Da smarte kontrakter er permanente på Ethereum-blockchain og ikke kan annulleres, er det op til kryptovalutaudvekslinger at reparere ERC-20-tokenprocedurer, der allerede er underlagt det falske depositumangreb.
Fabian Vogelsteller, Ethereum-udvikleren, der oprettede ERC-20-tokenet, sagde, at kryptokursudvekslinger kan sortliste ondsindede token-kontrakter. Zhejiang Universitets cybervidenskabsprofessor Lei Wu og et medlem af forskergruppen foreslog også at frigive såkaldte proxy-smarte kontrakter for at holde muligheden for at erstatte gamle Ethereum-smarte kontrakter åbne.
Nogle Ethereum-udviklere har dog undgået at skrive smarte kontraktproxyer, fordi de har andre sikkerhedsrisici. For aktive ERC-20-tokens anbefaler Ethereum Foundation, at Ethereum-blockchain-udviklere implementerer den smarte kontraktbeskyttelsesstandard mod skødesløs kryptovalutaudveksling, sagde Wu.
Hvilke ERC-20 tokens er i fare?
De sårbare tokens med den højeste handelsvolumen på decentraliserede børser, CloudBric, MovieCredits, BullandBear, LOVE og EtherDOGE, har ifølge undersøgelsen kun lidt eller ingen aktivitet.
Disse ERC-20-tokens cirkulerer på decentraliserede børser som IDEX, DDEX, Bitcoin-system og Ether Delta, som ifølge forskerne løste sårbarheden i denne måned. I modsætning hertil er 7.716 af ERC-20-tokens, der er sårbare over for det falske depositumangreb - 99,2% af de identificerede - opført på centraliserede børser som Binance, Coinbase, OkEx og Kraken. Berørte tokens på centraliserede børser, hvor de fleste af de manglende standard ERC-20-tokens handles, blev vurderet til over 1,1 mia. $ I april.
Begrænset identifikation
Forskerne nægtede at identificere de berørte Ethereum-valutaer ud over dem, der er placeret i top fem efter handelsvolumen på decentraliserede børser og top fem ved markedsværdi på centraliserede børser. Forskerne har heller ikke bestemt, hvilke centraliserede børser der endnu ikke har foretaget de anbefalede sikkerhedsprocedurer for Ethereum-tokens.
