sulle cripto
Secondo una nuova ricerca, oltre 1 miliardo $ di token sulla blockchain di Ethereum mancano di uno standard software rilasciato nel 2017, e ciò li rende vulnerabili ad essere dirottati o prelevati dai depositi di trading.
Fake deposit exploit
La vulnerabilità del software, chiamata fake deposit exploit, è stata individuata in 7.772 emittenti di token ERC-20, secondo una ricerca delle università Peking University, Beijing University of Posts and Telecommunications, Zhejiang University e la University of Queensland.
La ricerca afferma che manipolando il codice negli smart contract, o script di programmazione, dei token ERC-20 elencati negli exchange di criptovaluta che supportano scarsi metodi di verifica delle transazioni, un hacker può sottrarre in modo fraudolento quantità esorbitanti di fondi quasi senza alcun costo.
Il fake deposit attack potrebbe quindi mandare in crash l’exchange, facendo perdere i propri fondi ai possessori dei token ERC-20 e di altre criptovalute. Alcuni possessori potrebbero anche avere problemi ad accedere alle utility acquistate con i token ERC-20, che sono sempre più legate a beni e necessità come energia, immobili e assicurazioni.
Possibili soluzioni
Poiché gli smart contract sono permanenti sulla blockchain di Ethereum e non possono essere annullati, spetta agli exchange di criptovaluta riparare le procedure di token ERC-20 già soggette al fake deposit attack.
Fabian Vogelsteller, lo sviluppatore di Ethereum che ha creato il token ERC-20, ha affermato che gli exchange di criptovaluta possono inserire in una lista nera i contratti token dannosi. Il professore di cyber-scienza della Zhejiang University Lei Wu, e membro del team di ricerca, ha anche suggerito di rilasciare i cosiddetti smart contract proxy per mantenere aperta l’opzione di sostituire i vecchi smart contract di Ethereum.
Tuttavia, alcuni sviluppatori di Ethereum hanno evitato di scrivere smart contract proxy perché portano altri rischi per la sicurezza. Per i token ERC-20 attivi, la Fondazione Ethereum raccomanda agli sviluppatori blockchain di Ethereum di implementare lo standard di protezione del software smart contract contro gli scambi disattenti di criptovaluta, ha affermato Wu.
Quali token ERC-20 sono a rischio?
I token vulnerabili con il maggior volume di scambi su exchange decentralizzati, CloudBric, MovieCredits, BullandBear, LOVE ed EtherDOGE, hanno avuto poca o nessuna attività, secondo la ricerca.
Questi token ERC-20 stanno circolando su exchange decentralizzati come IDEX, DDEX, Bitcoin System e Ether Delta, che hanno corretto la vulnerabilità questo mese, secondo i ricercatori. Al contrario, 7.716 dei token ERC-20 vulnerabili al fake deposit attack – il 99,2% di quelli identificati – sono elencati su exchange centralizzati come Binance, Coinbase, OkEx e Kraken. I token interessati sugli exchange centralizzati, dove viene scambiata la maggior parte dei token ERC-20 standard mancanti, sono stati valutati a oltre 1,1 miliardi $ ad aprile.
Identificazione limitata
I ricercatori hanno rifiutato di identificare le valute Ethereum interessate oltre a quelle posizionate nei primi cinque posti per volume di scambio sugli exchange decentralizzati e i primi cinque per capitalizzazione di mercato sugli exchange centralizzati. I ricercatori inoltre non hanno determinato quali exchange centralizzati non hanno ancora intrapreso le procedure di sicurezza per i token Ethereum raccomandate.
