a kriptográfia
Új kutatások szerint az Ethereum blokkláncon több mint egymilliárd dollár értékű tokenekből hiányzik egy 1-ben kiadott szoftver szabvány, ami sebezhetővé teszi őket az elrablás vagy a kereskedési betétekből történő kivonás szempontjából.
Hamis betéti kiaknázás
A hamis betéti kiaknázásnak nevezett szoftver sebezhetőséget 7.772 ERC-20 token kibocsátónál azonosították a Pekingi Egyetem, a Pekingi Posta- és Távközlési Egyetem, a Zhejiang Egyetem és a Queenslandi Egyetem kutatásai szerint.
A kutatás azt állítja, hogy a rossz tranzakció-ellenőrzési módszereket támogató kriptovaluta-tőzsdéken felsorolt ERC-20 tokenek intelligens szerződéseiben szereplő kódok manipulálásával vagy szkriptek programozásával egy hacker csalással ellophatja a túlzott összegeket, szinte költség nélkül. .
A hamis betétes támadás ezért összeomolhatja a tőzsdét, aminek következtében az ERC-20 tokenek és más kriptovaluták birtokosai elveszíthetik pénzüket. Egyes tulajdonosoknak problémái lehetnek az ERC-20 tokennel vásárolt segédprogramok elérésében is, amelyek egyre inkább olyan eszközökhöz és szükségletekhez kötődnek, mint az energia, az ingatlan és a biztosítás.
Lehetséges megoldások
Mivel az intelligens szerződések állandóak az Ethereum blokkláncon, és nem mondhatók le, a kriptovaluta-cserék feladata az ERC-20 token eljárások kijavítása, amelyek már a hamis betéti támadásnak vannak kitéve.
Fabian Vogelsteller, az Ethereum fejlesztője, aki létrehozta az ERC-20 tokent, elmondta, hogy a kriptovaluta-cserék feketelistára tehetik a rosszindulatú token-szerződéseket. A Zhejiang Egyetem kibertudományi professzora, Lei Wu és a kutatócsoport tagja javasolta az úgynevezett proxy okos szerződések kiadását is, hogy továbbra is nyitva maradjon a régi Ethereum intelligens szerződések cseréje.
Néhány Ethereum fejlesztő azonban elkerülte az okos szerződéses meghatalmazottak írását, mert más biztonsági kockázatokat hordoz. Aktív ERC-20 tokenek esetében az Ethereum Alapítvány azt javasolja az Ethereum blokklánc-fejlesztőknek, hogy hajtsák végre az intelligens szerződéses szoftver védelmi szabványát a gondatlan kriptovaluta-cserék ellen - mondta Wu.
Melyik ERC-20 tokenek vannak veszélyben?
A kutatás szerint a decentralizált tőzsdéken a legnagyobb kereskedési volumenű, sebezhető tokenek, a CloudBric, a MovieCredits, a BullandBear, a LOVE és az EtherDOGE kevés vagy semmilyen tevékenységet nem folytattak.
Ezek az ERC-20 tokenek decentralizált központokon keringenek, például IDEX, DDEX, Bitcoin rendszer és a kutatók szerint Ether Delta, amely ebben a hónapban rögzítette a sebezhetőséget. Ezzel szemben a hamis betéti támadásnak kitett ERC-7.716 tokenek közül 20 - az azonosítottak 99,2% -a - olyan központi tőzsdéken szerepel, mint a Binance, a Coinbase, az OkEx és a Kraken. A központosított tőzsdéken, ahol a hiányzó szabványos ERC-20 tokenek nagy részét forgalmazzák, az érintett tokenek értéke áprilisban meghaladta az 1,1 milliárd dollárt.
Korlátozott azonosítás
A kutatók nem voltak hajlandók azonosítani az érintett Ethereum devizákat, amelyek meghaladják az első öt helyet a decentralizált tőzsdék kereskedési volumene alapján, az első öt pedig a centralizált tőzsdék piaci kapitalizációja alapján. A kutatók azt sem határozták meg, hogy mely központosított cserék még nem hajtották végre az Ethereum tokenek ajánlott biztonsági eljárásait.