на крипто
Согласно новому исследованию, токены на блокчейне Ethereum на сумму более 1 миллиарда долларов не имеют стандарта программного обеспечения, выпущенного в 2017 году, что делает их уязвимыми для взлома или взятия с торговых депозитов.
Подделка депозита
Согласно исследованиям Пекинского университета, Пекинского университета почты и телекоммуникаций, Университета Чжэцзян и Университета Квинсленда, уязвимость программного обеспечения, называемая эксплойтом поддельного депозита, была обнаружена у 7.772 эмитентов токенов ERC-20.
В исследовании утверждается, что, манипулируя кодом в смарт-контрактах или сценариях программирования токенов ERC-20, перечисленных на криптовалютных биржах, которые поддерживают некачественные методы проверки транзакций, хакер может обманным путем украсть непомерные суммы средств почти бесплатно. .
Таким образом, атака фальшивого депозита может привести к сбою обмена, в результате чего держатели токенов ERC-20 и других криптовалют потеряют свои средства. У некоторых держателей также могут возникнуть проблемы с доступом к коммунальным услугам, приобретенным с помощью токенов ERC-20, которые все больше привязаны к активам и потребностям, таким как энергия, недвижимость и страхование.
Возможные решения
Поскольку смарт-контракты являются постоянными в блокчейне Ethereum и не могут быть отменены, криптовалютные биржи должны восстановить процедуры токенов ERC-20, которые уже подверглись атаке с поддельным депозитом.
Фабиан Фогельстеллер, разработчик Ethereum, создавший токен ERC-20, сказал, что биржи криптовалюты могут заносить в черный список контракты с вредоносными токенами. Профессор кибернауки Чжэцзянского университета Лэй Ву и член исследовательской группы также предложили выпустить так называемые прокси-смарт-контракты, чтобы сохранить возможность замены старых смарт-контрактов Ethereum.
Однако некоторые разработчики Ethereum избегают написания прокси для смарт-контрактов, поскольку они несут другие риски для безопасности. По словам Ву, для активных токенов ERC-20 Ethereum Foundation рекомендует разработчикам блокчейнов Ethereum внедрить стандарт защиты программного обеспечения смарт-контрактов от неосторожного обмена криптовалютами.
Какие токены ERC-20 подвержены риску?
Согласно исследованию, уязвимые токены с наибольшим объемом торгов на децентрализованных биржах CloudBric, MovieCredits, BullandBear, LOVE и EtherDOGE практически не активны.
Эти токены ERC-20 циркулируют на децентрализованных биржах, таких как IDEX, DDEX, Биткойн-система и Ether Delta, которая, по словам исследователей, устранила уязвимость в этом месяце. Напротив, 7.716 токенов ERC-20, уязвимых для атаки на фальшивый депозит - 99,2% идентифицированных - перечислены на централизованных биржах, таких как Binance, Coinbase, OkEx и Kraken. Затронутые токены на централизованных биржах, где торгуется большинство недостающих стандартных токенов ERC-20, были оценены в апреле более чем в 1,1 миллиарда долларов.
Ограниченная идентификация
Исследователи отказались идентифицировать затронутые валюты Ethereum помимо тех, которые входят в первую пятерку по объему торгов на децентрализованных биржах и в первую пятерку по рыночной капитализации на централизованных биржах. Исследователи также не определили, какие централизованные биржи еще не выполнили рекомендуемые процедуры безопасности токенов Ethereum.