sur le crypto
Selon une nouvelle étude, plus d'un milliard de dollars de jetons sur la blockchain Ethereum n'ont pas de norme logicielle publiée en 1, ce qui les rend vulnérables au détournement ou à la capture de dépôts commerciaux.
Faux exploit de gisement
La vulnérabilité logicielle, appelée fausse exploitation de gisement, a été identifiée chez 7.772 20 émetteurs de jetons ERC-XNUMX, selon des recherches de l'Université de Pékin, de l'Université des Postes et Télécommunications de Beijing, de l'Université du Zhejiang et de l'Université du Queensland.
La recherche affirme qu'en manipulant le code dans les contrats intelligents, ou les scripts de programmation, des jetons ERC-20 répertoriés sur les bourses de crypto-monnaie qui prennent en charge de mauvaises méthodes de vérification des transactions, un pirate informatique peut voler frauduleusement des montants exorbitants de fonds presque sans frais. .
La fausse attaque de dépôt pourrait donc faire crasher l'échange, entraînant la perte de fonds des détenteurs de jetons ERC-20 et d'autres crypto-monnaies. Certains détenteurs peuvent également avoir des problèmes pour accéder aux services publics achetés avec des jetons ERC-20, qui sont de plus en plus liés aux actifs et aux besoins tels que l'énergie, l'immobilier et les assurances.
Solutions possibles
Étant donné que les contrats intelligents sont permanents sur la blockchain Ethereum et ne peuvent pas être annulés, il appartient aux échanges de crypto-monnaie de réparer les procédures de jeton ERC-20 déjà soumises à la fausse attaque de dépôt.
Fabian Vogelsteller, le développeur Ethereum qui a créé le jeton ERC-20, a déclaré que les échanges de crypto-monnaie peuvent mettre sur liste noire les contrats de jetons malveillants. Lei Wu, professeur de cyber-science à l'Université du Zhejiang, et un membre de l'équipe de recherche, ont également suggéré de publier des contrats intelligents par proxy pour conserver la possibilité de remplacer les anciens contrats intelligents Ethereum.
Cependant, certains développeurs Ethereum ont évité d'écrire des proxys de contrat intelligents car ils comportent d'autres risques de sécurité. Pour les jetons ERC-20 actifs, la Fondation Ethereum recommande aux développeurs de blockchain Ethereum de mettre en œuvre la norme de protection logicielle des contrats intelligents contre les échanges de crypto-monnaie imprudents, a déclaré Wu.
Quels jetons ERC-20 sont à risque?
Les jetons vulnérables avec le volume de trading le plus élevé sur les échanges décentralisés, CloudBric, MovieCredits, BullandBear, LOVE et EtherDOGE, ont eu peu ou pas d'activité, selon la recherche.
Ces jetons ERC-20 circulent sur des échanges décentralisés tels que IDEX, DDEX, Bitcoin System et Ether Delta, qui a corrigé la vulnérabilité ce mois-ci, selon les chercheurs. En revanche, 7.716 des jetons ERC-20 vulnérables à la fausse attaque de dépôt - 99,2% de ceux identifiés - sont répertoriés sur des bourses centralisées telles que Binance, Coinbase, OkEx et Kraken. Les jetons affectés sur les échanges centralisés, où la plupart des jetons ERC-20 standard manquants sont échangés, ont été évalués à plus de 1,1 milliard de dollars en avril.
Identification limitée
Les chercheurs ont refusé d'identifier les devises Ethereum affectées au-delà de celles classées dans les cinq premières en termes de volume de négociation sur les bourses décentralisées et dans les cinq premières en termes de capitalisation boursière sur les bourses centralisées. Les chercheurs n'ont pas non plus déterminé quels échanges centralisés n'ont pas encore entrepris les procédures de sécurité recommandées pour les jetons Ethereum.
