Zgodnie z najnowszym raportem opublikowanym przez badaczy z trzech uniwersytetów zlokalizowanych na terenie Państwa Środka oraz jednego z Australii, u ponad 7 tysięcy emitentów tokenów ERC-20 wykryto poważną lukę w zabezpieczeniach oprogramowania, która pozwala na tzw. fałszywy atak depozytu.
Najważniejsze informacje:
- Badacze z 4 uniwersytetów opublikowali wyniki badań, w których poinformowali o dość poważnej luce w zabezpieczeniach oprogramowania u 7 772 emitentów tokenów ERC-20
- Jak się okazuje, w niektórych tokenach opartych na Ethereum brakuje standardu oprogramowania wydanego w 2017 roku – EIP-20
- W raporcie stwierdzono, że hakerzy manipulując kodem w inteligentnych kontraktach bądź skryptach programistycznych tokenów ERC-20 notowanych na giełdach z wadliwymi funkcjami weryfikacji transakcji, są w stanie wyprowadzić wygórowane kwoty, bez ponoszenia przy tym kosztów
- Fałszywy atak depozytowy może doprowadzić do awarii takiej platformy kryptowalutowej, a następnie utraty środków przez posiadaczy tokenów ERC-20
Jakie tokeny są zagrożone?
Zgodnie z raportem opublikowanym przez badaczy z 4 uniwersytetów, zidentyfikowano aż 7 716 tokenów ERC-20 podatnych na fałszywy atak depozytowy. Ponad 90% z nich notowane jest na scentralizowanych giełdach kryptowalutowych takich jak Binance, Kraken czy Coinbase.
Obok wykryto tę samą lukę u tokenów listowanych na zdecentralizowanych giełdach, chociażby IDEX i Ether Delta. Z badań wynika jednak, że platformy te zdołały wyeliminować to zagrożenie w bieżącym miesiącu.
Badacze nie wymienili wszystkich tokenów opartych na Ethereum, których dotyczy ten problem, koncentrując się jedynie na tych o największej kapitalizacji rynkowej. Wśród nich znalazły się wirtualne monety takie, jak:
- Bassic Attention Token (BAT) przynależny do przeglądarki internetowej Brave
- token HPT giełdy kryptowlautowej Huobi,
- PWR od Power Ledger,
- RPL przynależny do aplikacji Rocket Pool Ethereum
- Bear Chain (BRC).
Naukowcy nie podali również, które ze scentralizowanych giełd nie wdrożyły zalecanych procedur bezpieczeństwa związanych z tokenami ERC-20.
Jak można rozwiązać zaistniały problem?
Ze względu na to, iż inteligentne umowy na blockchainie Ethereum są trwałe, innymi słowy nie da się ich cofnąć, cała odpowiedzialność za naprawę procedury dotyczącej tokenów ERC-20 podatnych na fałszywy atak depozytowy spoczywa na giełdach kryptowalutowych.
Jeden z profesorów – Lei Wu przynależny do zespołu badawczego Uniwersytetu Zgejiang widzi rozwiązanie w wydaniu tzw. smart kontraktów proxy. Niektórzy programiści unikają jednak pisania tego typu inteligentnych umów, ponieważ niosą one ze sobą inne zagrożenia bezpieczeństwa.
Sama Fundacja Ethereum zalecała programistom wdrażanie oprogramowania ochronnego dla inteligentnych kontraktów, które stanowiłoby zabezpieczenie.
Zobacz również: Liczba wielorybów BTC osiąga nowy rekord!
