em criptografia
De acordo com uma nova pesquisa, mais de US $ 1 bilhão em tokens no blockchain Ethereum carecem de um padrão de software lançado em 2017, tornando-os vulneráveis a serem sequestrados ou retirados de depósitos comerciais.
Exploração de depósito falso
A vulnerabilidade do software, chamada de exploração de depósito falso, foi identificada em 7.772 emissores de tokens ERC-20, de acordo com pesquisas da Universidade de Pequim, Universidade de Correios e Telecomunicações de Pequim, Universidade de Zhejiang e Universidade de Queensland.
A pesquisa afirma que, ao manipular o código nos contratos inteligentes, ou scripts de programação, de tokens ERC-20 listados em trocas de criptomoedas que oferecem suporte a métodos de verificação de transação inadequados, um hacker pode roubar quantias exorbitantes de fundos quase sem custo. .
O ataque de depósito falso pode, portanto, quebrar a bolsa, fazendo com que os detentores de tokens ERC-20 e outras criptomoedas percam seus fundos. Alguns detentores também podem ter problemas para acessar serviços públicos adquiridos com tokens ERC-20, que estão cada vez mais vinculados a ativos e necessidades como energia, imóveis e seguros.
Soluções possíveis
Como os contratos inteligentes são permanentes no blockchain Ethereum e não podem ser cancelados, cabe às trocas de criptomoedas reparar os procedimentos de token ERC-20 já sujeitos ao ataque de depósito falso.
Fabian Vogelsteller, o desenvolvedor Ethereum que criou o token ERC-20, disse que as trocas de criptomoedas podem colocar na lista negra contratos de tokens maliciosos. O professor de ciências cibernéticas da Universidade de Zhejiang, Lei Wu, e um membro da equipe de pesquisa, também sugeriu o lançamento dos chamados contratos inteligentes por procuração para manter aberta a opção de substituir os antigos contratos inteligentes Ethereum.
No entanto, alguns desenvolvedores do Ethereum evitaram escrever proxies de contrato inteligentes porque eles trazem outros riscos de segurança. Para tokens ERC-20 ativos, a Fundação Ethereum recomenda que os desenvolvedores de blockchain da Ethereum implementem o padrão de proteção de software de contrato inteligente contra trocas de criptomoedas descuidadas, disse Wu.
Quais tokens ERC-20 estão em risco?
Os tokens vulneráveis com o maior volume de negociação em bolsas descentralizadas, CloudBric, MovieCredits, BullandBear, LOVE e EtherDOGE, tiveram pouca ou nenhuma atividade, de acordo com a pesquisa.
Esses tokens ERC-20 estão circulando em trocas descentralizadas, como IDEX, DDEX, Sistema Bitcoin e Ether Delta, que corrigiu a vulnerabilidade neste mês, de acordo com os pesquisadores. Em contraste, 7.716 dos tokens ERC-20 vulneráveis ao ataque de depósito falso - 99,2% dos identificados - estão listados em bolsas centralizadas como Binance, Coinbase, OkEx e Kraken. Os tokens afetados em trocas centralizadas, onde a maioria dos tokens ERC-20 padrão ausentes são negociados, foram avaliados em mais de US $ 1,1 bilhão em abril.
Identificação limitada
Os pesquisadores se recusaram a identificar as moedas Ethereum afetadas além das classificadas entre as cinco primeiras por volume de negociação em bolsas descentralizadas e as cinco primeiras por capitalização de mercado em bolsas centralizadas. Os pesquisadores também não determinaram quais trocas centralizadas ainda não realizaram os procedimentos de segurança de token Ethereum recomendados.
