en la criptografía
Según una nueva investigación, más de mil millones de dólares en tokens en la cadena de bloques Ethereum carecen de un estándar de software lanzado en 1, lo que los hace vulnerables a ser secuestrados o retirados de los depósitos comerciales.
Explotación de depósito falso
La vulnerabilidad del software, denominada explotación de depósito falso, se ha identificado en 7.772 emisores de tokens ERC-20, según una investigación de la Universidad de Pekín, la Universidad de Correos y Telecomunicaciones de Beijing, la Universidad de Zhejiang y la Universidad de Queensland.
La investigación afirma que al manipular el código en los contratos inteligentes o scripts de programación de los tokens ERC-20 que figuran en los intercambios de criptomonedas que admiten métodos de verificación de transacciones deficientes, un pirata informático puede robar cantidades exorbitantes de fondos de manera fraudulenta casi sin costo alguno. .
Por lo tanto, el ataque de depósito falso podría bloquear el intercambio, lo que haría que los titulares de tokens ERC-20 y otras criptomonedas perdieran sus fondos. Algunos titulares también pueden tener problemas para acceder a los servicios públicos comprados con tokens ERC-20, que están cada vez más vinculados a activos y necesidades como energía, bienes raíces y seguros.
Posibles soluciones
Dado que los contratos inteligentes son permanentes en la cadena de bloques Ethereum y no se pueden cancelar, depende de los intercambios de criptomonedas reparar los procedimientos de token ERC-20 que ya están sujetos al ataque de depósito falso.
Fabian Vogelsteller, el desarrollador de Ethereum que creó el token ERC-20, dijo que los intercambios de criptomonedas pueden incluir en la lista negra los contratos de tokens maliciosos. El profesor de ciberciencia de la Universidad de Zhejiang, Lei Wu, y miembro del equipo de investigación, también sugirió lanzar los llamados contratos inteligentes proxy para mantener abierta la opción de reemplazar los contratos inteligentes antiguos de Ethereum.
Sin embargo, algunos desarrolladores de Ethereum han evitado escribir proxies de contratos inteligentes porque conllevan otros riesgos de seguridad. Para los tokens ERC-20 activos, la Fundación Ethereum recomienda a los desarrolladores de cadenas de bloques de Ethereum que implementen el estándar de protección de software de contrato inteligente contra los intercambios de criptomonedas descuidados, dijo Wu.
¿Qué tokens ERC-20 están en riesgo?
Los tokens vulnerables con el mayor volumen de operaciones en intercambios descentralizados, CloudBric, MovieCredits, BullandBear, LOVE y EtherDOGE, han tenido poca o ninguna actividad, según la investigación.
Estos tokens ERC-20 están circulando en intercambios descentralizados como IDEX, DDEX, Bitcoin System y Ether Delta, que solucionó la vulnerabilidad este mes, según los investigadores. Por el contrario, 7.716 de los tokens ERC-20 vulnerables al ataque de depósito falso, el 99,2% de los identificados, se enumeran en intercambios centralizados como Binance, Coinbase, OkEx y Kraken. Los tokens afectados en los intercambios centralizados, donde se comercializan la mayoría de los tokens ERC-20 estándar que faltan, se valoraron en más de $ 1,1 mil millones en abril.
Identificación limitada
Los investigadores se negaron a identificar las monedas Ethereum afectadas más allá de las clasificadas entre las cinco primeras por volumen de operaciones en intercambios descentralizados y las cinco principales por capitalización de mercado en intercambios centralizados. Los investigadores tampoco han determinado qué intercambios centralizados aún no han llevado a cabo los procedimientos de seguridad recomendados para los tokens Ethereum.
