på krypto
Ifølge ny forskning mangler mer enn 1 milliard dollar tokens på Ethereum-blockchain en programvarestandard som ble utgitt i 2017, noe som gjør dem sårbare for å bli kapret eller trukket fra handelsinnskudd.
Falske innskudd utnyttes
Programvaresårbarheten, kalt en falsk innskuddsutnyttelse, har blitt identifisert i 7.772 ERC-20-tokenutstedere, ifølge forskning fra Peking University, Beijing University of Posts and Telecommunications, Zhejiang University og University of Queensland.
Forskningen hevder at ved å manipulere koden i smarte kontrakter, eller programmeringsskripter, av ERC-20-tokens oppført på kryptovaluta-børser som støtter dårlige transaksjonsbekreftelsesmetoder, kan en hacker svindel stjele ublu mengder midler nesten uten kostnad. .
Det falske innskuddsangrepet kan derfor krasje børsen og føre til at innehaverne av ERC-20-tokens og andre kryptovalutaer mister pengene sine. Noen innehavere kan også ha problemer med å få tilgang til verktøy som er kjøpt med ERC-20-tokens, som i økende grad er knyttet til eiendeler og behov som energi, eiendom og forsikring.
Mulige løsninger
Siden smarte kontrakter er permanente på Ethereum blockchain og ikke kan kanselleres, er det opp til kryptovalutautvekslinger å reparere ERC-20-tokenprosedyrer som allerede er underlagt det falske innskuddsangrepet.
Fabian Vogelsteller, Ethereum-utvikleren som opprettet ERC-20-token, sa at kryptokursutvekslinger kan svarteliste ondsinnede tokenkontrakter. Zhejiang University cyber-science professor Lei Wu, og et medlem av forskerteamet, foreslo også å slippe såkalte proxy-smarte kontrakter for å holde muligheten til å erstatte gamle Ethereum-smarte kontrakter åpne.
Noen Ethereum-utviklere har imidlertid unngått å skrive smarte kontraktsfullmakter fordi de har andre sikkerhetsrisikoer. For aktive ERC-20-tokens anbefaler Ethereum Foundation at Ethereum blockchain-utviklere implementerer den smarte kontraktsbeskyttelsesstandarden mot uforsiktig kryptovalutautveksling, sa Wu.
Hvilke ERC-20-tokens er i fare?
De sårbare tokens med høyest handelsvolum på desentraliserte børser, CloudBric, MovieCredits, BullandBear, LOVE og EtherDOGE, har hatt liten eller ingen aktivitet, ifølge forskningen.
Disse ERC-20-tokens sirkulerer på desentraliserte sentraler som IDEX, DDEX, Bitcoin-systemet og Ether Delta, som løste sårbarheten denne måneden, ifølge forskerne. I motsetning til dette er 7.716 av ERC-20-tokens sårbare for falske innskuddsangrep - 99,2% av de som er identifisert - oppført på sentraliserte børser som Binance, Coinbase, OkEx og Kraken. Berørte poletter på sentraliserte børser, hvor de fleste av de manglende standard ERC-20-tokens handles, ble verdsatt til over 1,1 milliarder dollar i april.
Begrenset identifikasjon
Forskerne nektet å identifisere de berørte Ethereum-valutaene utover de som er rangert blant de fem beste etter handelsvolum på desentraliserte børser og de fem beste etter markedsverdi på sentraliserte børser. Forskerne har heller ikke bestemt hvilke sentraliserte børser som ennå ikke har gjennomført de anbefalte sikkerhetsprosedyrene for Ethereum-tokens.
