på krypto
Mer än 1 miljard dollar i tokens på Ethereum blockchain saknar en mjukvarustandard som släpptes 2017, vilket gör dem sårbara för att kapas eller dras tillbaka från handelsvalven, enligt ny forskning.
Utnyttja falsk insättning
Sårbarheten i mjukvaran, kallad falsk insättning, identifierades hos 7.772 20 ERC-XNUMX-emittenter, enligt forskning från Peking University, Beijing University of Post and Telecommunications, Zhejiang University och University of Queensland.
Forskning säger att genom att manipulera kod i smarta kontrakt, eller programmeringsskript, för ERC-20-tokens listade på kryptovalutabörser som stöder dåliga transaktionsverifieringsmetoder, kan en hackare bedrägligt stjäla orimliga mängder pengar nästan utan kostnad.
Den falska insättningsattacken kan därför krascha börsen, vilket gör att innehavare av ERC-20-tokens och andra kryptovalutor förlorar sina pengar. Vissa innehavare kan också ha problem med att komma åt verktyg som köpts med ERC-20-tokens, som i allt högre grad är knutna till varor och förnödenheter som energi, fastigheter och försäkringar.
Möjliga lösningar
Eftersom smarta kontrakt är permanenta på Ethereum-blockkedjan och inte kan ångras, är det upp till kryptovalutabörser att korrigera ERC-20-tokenprocesser som redan är föremål för den falska insättningsattacken.
Fabian Vogelsteller, Ethereum-utvecklaren som skapade ERC-20-tokenet, sa att kryptovalutabörser kan svartlista skadliga tokenkontrakt. Zhejiang Universitys cybervetenskapsprofessor Lei Wu, och medlem av forskargruppen, föreslog också att släppa så kallade proxy smarta kontrakt för att hålla möjligheten att ersätta äldre Ethereum smarta kontrakt öppen.
Vissa Ethereum-utvecklare har dock undvikit att skriva smarta proxykontrakt eftersom de medför andra säkerhetsrisker. För aktiva ERC-20-tokens rekommenderar Ethereum Foundation att Ethereum blockchain-utvecklare implementerar den smarta kontraktsmjukvaruskyddsstandarden mot vårdslösa kryptovalutautbyten, sa Wu.
Vilka ERC-20-tokens är i riskzonen?
De sårbara tokens med den högsta handelsvolymen på decentraliserade börser, CloudBric, MovieCredits, BullandBear, LOVE och EtherDOGE, hade liten eller ingen aktivitet, enligt forskningen.
Dessa ERC-20-tokens cirkulerar på decentraliserade börser som IDEX, DDEX, Bitcoin-systemet och Ether Delta, som korrigerade sårbarheten denna månad, enligt forskare. Däremot är 7.716 20 av ERC-99,2-tokens sårbara för den falska insättningsattacken – 20 % av de identifierade – listade på centraliserade börser som Binance, Coinbase, OkEx och Kraken. Berörda tokens på centraliserade börser, där de flesta saknade standard ERC-1,1-tokens handlas, värderades till över XNUMX miljarder dollar i april.
Begränsad identifiering
Forskarna avböjde att identifiera påverkade Ethereum-valutor utöver de som rankades i topp fem efter handelsvolym på decentraliserade börser och topp fem efter börsvärde på centraliserade börser. Forskarna har inte heller bestämt vilka centraliserade utbyten som ännu inte har genomfört de rekommenderade säkerhetsprocedurerna för Ethereum-tokens.
