na krypto
Z nowych badań wynika, że tokeny o wartości ponad 1 miliarda dolarów w łańcuchu bloków Ethereum nie mają standardu oprogramowania wydanego w 2017 r., co czyni je podatnymi na przejęcie lub wycofanie ze skarbców handlowych.
Wykorzystywanie fałszywego depozytu
Według badań przeprowadzonych przez Uniwersytet Pekiński, Uniwersytet Poczty i Telekomunikacji w Pekinie, Uniwersytet Zhejiang i Uniwersytet w Queensland, luka w oprogramowaniu, zwana exploitem na fałszywe depozyty, została wykryta u 7.772 emitentów tokenów ERC-20.
Badania mówią, że manipulując kodem w inteligentnych kontraktach, czyli skryptach programistycznych tokenów ERC-20 notowanych na giełdach kryptowalut, które obsługują słabe metody weryfikacji transakcji, haker może w oszukańczy sposób ukraść wygórowane kwoty środków niemal bez żadnych kosztów.
Atak na fałszywy depozyt może zatem spowodować awarię giełdy, powodując utratę środków przez posiadaczy tokenów ERC-20 i innych kryptowalut. Niektórzy posiadacze mogą również mieć problemy z dostępem do mediów zakupionych za tokeny ERC-20, które w coraz większym stopniu są powiązane z towarami i artykułami pierwszej potrzeby, takimi jak energia, nieruchomości i ubezpieczenia.
Możliwe rozwiązania
Ponieważ inteligentne kontrakty są trwałe w łańcuchu bloków Ethereum i nie można ich cofnąć, zadaniem giełd kryptowalut jest załatanie procesów tokena ERC-20, które już stały się przedmiotem ataku fałszywego depozytu.
Fabian Vogelsteller, programista Ethereum, który stworzył token ERC-20, powiedział, że giełdy kryptowalut mogą umieszczać na czarnej liście umowy zawierające złośliwe tokeny. Lei Wu, profesor cybernetyki na Uniwersytecie Zhejiang i członek zespołu badawczego, również zasugerował wypuszczenie tak zwanych inteligentnych kontraktów proxy, aby zachować możliwość zastąpienia starszych inteligentnych kontraktów Ethereum.
Jednak niektórzy programiści Ethereum unikali pisania inteligentnych kontraktów proxy, ponieważ niosą ze sobą inne zagrożenia bezpieczeństwa. Wu powiedział, że w przypadku aktywnych tokenów ERC-20 Fundacja Ethereum zaleca twórcom blockchain Ethereum wdrożenie standardu ochrony oprogramowania inteligentnych kontraktów przed nieostrożnymi giełdami kryptowalut.
Które tokeny ERC-20 są zagrożone?
Z badania wynika, że wrażliwe tokeny o największym wolumenie obrotu na zdecentralizowanych giełdach, CloudBric, MovieCredits, BullandBear, LOVE i EtherDOGE, wykazywały niewielką lub żadną aktywność.
Te tokeny ERC-20 krążą na zdecentralizowanych giełdach, takich jak IDEX, DDEX, System Bitcoin Według badaczy oraz Ether Delta, które załatały tę lukę w tym miesiącu. Dla porównania, 7.716 tokenów ERC-20 podatnych na atak fałszywych depozytów – 99,2% zidentyfikowanych – jest notowanych na scentralizowanych giełdach, takich jak Binance, Coinbase, OkEx i Kraken. W kwietniu tokeny, których dotyczy problem, na scentralizowanych giełdach, na których handluje się większością brakujących standardowych tokenów ERC-20, wyceniono na ponad 1,1 miliarda dolarów.
Ograniczona identyfikacja
Badacze odmówili zidentyfikowania dotkniętych walut Ethereum poza tymi, które znajdują się w pierwszej piątce pod względem wolumenu obrotu na zdecentralizowanych giełdach i pierwszej piątce pod względem kapitalizacji rynkowej na giełdach scentralizowanych. Badacze nie ustalili również, które scentralizowane giełdy nie podjęły jeszcze zalecanych procedur bezpieczeństwa dla tokenów Ethereum.
