salauksessa
Uuden tutkimuksen mukaan yli miljardin dollarin arvoisilla rahakkeilla Ethereumin lohkoketjussa puuttuu vuonna 1 julkaistu ohjelmistostandardi, mikä tekee niistä alttiita kaappauksille tai kotiutettaville talletuksille.
Fake talletus hyödyntää
Pekingin yliopiston, Pekingin yliopiston posti- ja televiestintäyliopiston, Zhejiangin yliopiston ja Queenslandin yliopiston tutkimuksen mukaan ohjelmistohaavoittuvuus, jota kutsutaan väärennetyn talletuksen hyödyntämiseksi, on tunnistettu 7.772 ERC-20-tunnuksen myöntäjälle.
Tutkimuksessa väitetään, että hakkeri voi petollisesti varastaa kohtuuttomia määriä varoja manipuloimalla koodia älykkäissä sopimuksissa tai ohjelmoimalla komentosarjoja ERC-20-tunnuksille, jotka on lueteltu salausvaluutan pörsseissä, jotka tukevat huonoja tapahtumien todentamismenetelmiä. .
Väärennetty talletushyökkäys voi sen vuoksi kaataa vaihdon, jolloin ERC-20-rahakkeiden ja muiden kryptovaluuttojen haltijat menettävät varansa. Joillakin haltijoilla voi myös olla vaikeuksia käyttää ERC-20-rahakkeilla ostettuja apuohjelmia, jotka ovat yhä enemmän sidoksissa omaisuuteen ja tarpeisiin, kuten energiaan, kiinteistöihin ja vakuutuksiin.
Mahdolliset ratkaisut
Koska älykkäät sopimukset ovat pysyviä Ethereumin lohkoketjussa, eikä niitä voi peruuttaa, on kriittisen valuutanvaihdon tehtävä korjata ERC-20-merkkimenettelyt, joihin jo kohdistuu väärennetty talletushyökkäys.
Fabian Vogelsteller, Ethereumin kehittäjä, joka loi ERC-20-tunnuksen, sanoi, että salausvaluutanvaihto voi lisätä haitallisten tunnussopimusten mustalle listalle. Zhejiangin yliopiston kybertieteen professori Lei Wu ja tutkimusryhmän jäsen ehdotti myös ns. Välityspalvelun älykkäiden sopimusten julkaisemista, jotta mahdollisuus korvata vanhat Ethereumin älykkäät sopimukset pysyisivät avoimina.
Jotkut Ethereumin kehittäjät ovat kuitenkin välttäneet älykkäiden sopimusvaltuuksien kirjoittamista, koska niihin liittyy muita turvallisuusriskejä. Aktiivisille ERC-20-rahakkeille Ethereum-säätiö suosittelee Ethereumin lohkoketjun kehittäjiä toteuttamaan älykkään sopimusohjelmiston suojausstandardin huolimattomia kryptovaluutanvaihtoa vastaan, Wu sanoi.
Mitkä ERC-20-rahakkeet ovat vaarassa?
Tutkimuksen mukaan haavoittuvilla rahakkeilla, joilla on suurin kaupankäyntimäärä hajautetuissa pörsseissä, CloudBric, MovieCredits, BullandBear, LOVE ja EtherDOGE, on ollut vähän tai ei lainkaan toimintaa.
Nämä ERC-20-tunnukset kiertävät hajautetussa vaihdossa, kuten IDEX, DDEX, Bitcoin-järjestelmä ja Ether Delta, joka korjasi haavoittuvuuden tässä kuussa tutkijoiden mukaan. Sen sijaan 7.716 väärennetyn talletuksen hyökkäykselle alttiista ERC-20-merkistä - 99,2% tunnistetuista - on listattu keskitetyissä pörsseissä, kuten Binance, Coinbase, OkEx ja Kraken. Keskitettyjen pörssien vaikutusalueella olevien merkkien arvo oli huhtikuussa yli 20 miljardia dollaria.
Rajoitettu tunnistaminen
Tutkijat kieltäytyivät tunnistamasta kärsiviä Ethereumin valuuttoja, jotka ylittävät viiden parhaan joukossa hajautettujen pörssien kaupankäyntimäärät ja viiden parhaan markkina-arvon perusteella keskitetyissä pörsseissä. Tutkijat eivät myöskään ole selvittäneet, mitkä keskitetyt vaihdot eivät ole vielä toteuttaneet suositeltuja turvamenettelyjä Ethereum-rahakkeille.
