Поділитися цією статтею
BTC
$83,696.18
-
1.13%ETH
$1,587.14
-
2.28%USDT
$0.9999
+
0.00%XRP
$2.0930
-
1.94%BNB
$579.39
-
0.86%SOL
$126.27
-
2.51%USDC
$0.9999
+
0.00%TRX
$0.2504
-
0.70%DOGE
$0.1537
-
3.28%ADA
$0.6088
-
4.37%LEO
$9.3135
-
0.93%LINK
$12.23
-
3.21%AVAX
$19.05
-
5.39%XLM
$0.2357
-
1.84%TON
$2.8526
-
1.33%SHIB
$0.0₄1170
-
2.74%SUI
$2.0882
-
4.93%HBAR
$0.1571
-
4.93%BCH
$319.37
-
1.43%LTC
$75.37
-
2.30%Зареєструватися
- Повернутися до менюЦіни
- Повернутися до менюдослідження
- Повернутися до менюКонсенсус
- Повернутися до менюСпонсорський матеріал
- Повернутися до меню
- Повернутися до меню
- Повернутися до меню
- Повернутися до менюВебінари та Заходи
Крипто призупиняють послуги через помилки контракту
Пара нещодавно опублікованих помилок дозволяє зловмиснику створювати непомірну кількість токенів ERC-20
Було виявлено, що десяток чи більше смарт-контрактів ERC-20 на основі Ethereum містять помилки, які дозволяють зловмисникам створювати скільки завгодно токенів.
Хоча помилки, вперше виявлені 22 квітня <a href="https://peckshield.com/2018/04/22/batchOverflow/">https://peckshield.com/2018/04/22/batchOverflow/</a> і 24 квітня <a href="https://peckshield.com/2018/04/25/proxyOverflow/">https://peckshield.com/2018/04/25/proxyOverflow/</a> відповідно, у парі публікацій, опублікованих компанією з безпеки блокчейну PeckShield, T пов’язані із самим стандартом ERC-20, проблеми викликали кілька бірж призупинили токени ERC-20 у міру проведення розслідування. Ці біржі включали OKEx,Poloniex, Changelly, Quoine і HitBTC.
Продовження Нижче
Не пропустіть жодної історії.Підпишіться на розсилку Crypto Daybook Americas вже сьогодні. Переглянути Всі Розсилки
окремо оголосив 25 квітня, що призупинив усі монети, але з тих пір обмежив це токенами на основі ERC-20. На момент публікації Poloniex перейшла до відновлення послуг для токенів ERC-20.
В ONE прикладі зловмисник передав колосальні 57,9 * 10^57 токенів BeautyChain, як показано в даних транзакцій на Etherscan – 22 квітня, подія, яка спонукала до початкового розслідування проблеми.
«Наше дослідження показує, що така передача походить від атаки «в дикій природі», яка використовує раніше невідому вразливість у контракті. Для уточнення ми називаємо цю конкретну вразливість batchOverflow», — пояснюється в дописі PeckShield 22 числа. «Ми зазначаємо, що batchOverflow — це, по суті, класична проблема переповнення цілих чисел».
Незліченні монети
У публікації batchOverflow пояснюється, як функція batchTransfer у контракті має максимальну кількість токенів, які можна надіслати в транзакції, додаючи, що вартість токенів, які передаються, має бути меншою за загальну кількість згенерованих токенів. Однак параметром "_value" – ONE із двох, які визначають загальну кількість токенів – можна маніпулювати, що потім змінить іншу змінну, у результаті чого зловмисник зможе створити стільки токенів, скільки забажає.
Крім того, зловмисник може обійти перешкоди в контракті, які зазвичай забезпечують передачу розумної кількості токенів.
"З сума обнулити, зловмисник може пройти перевірку працездатності в рядках 258–259 і зробити віднімання в рядку 261 нерелевантним», — пояснюється в публікації, зазначаючи:
«Нарешті, ось що цікаво: як показано в рядках 262–265, баланс двох одержувачів буде додано надзвичайно великим значенням _value без жодної копійки в кишені зловмисника!»
Хоча початкові звіти вказували на те, що це може вплинути на всі маркери ERC-20, функція «batchTransfer» не є частиною стандарту маркерів.
У дописі Medium не було переліку вразливих проектів, хоча було зазначено, що BeautyChain був першим проектом, який вони виявили. На знак серйозності цієї помилки OKEx сказав 24 квітня, що він скасував угоди на токені BeautyChain.
Приблизно в той час біржа також оголосила, що через помилки призупиняє депозити та зняття коштів у проекті під назвою SmartMesh торгівля через "ненормальну торгову діяльність". ПекШилд зазначив, що це, можливо, сталося через помилка proxyOverflow, яка, як і batchOverflow, є класичною проблемою цілочисельного переповнення. Певними змінними можна маніпулювати, щоб спонтанно генерувати велику кількість токенів.
ONE користувач Twitter зазначив, що зловмисник створив 5 октодецильйонів доларів у токенах SmartMesh.
Someone transferred 65,133,050,195,990,400,000,000,000,000,000,000,000,000,000,000,000,000,000,000.891004451135422463
— CRYPTOLOGIST 🟩🟩🟩🟩 (@kadhirvelavan) April 25, 2018
Smartmesh tokens worth
($5,712,591,867,014,630,000,000,000,000,000,000,000,000,000,000,000,000,000,000.00) to his addresshttps://t.co/w72eALHXhI
Як зазначено в ONE з дописів, існує небезпека того, що хтось може використовувати вразливу Криптовалюта для маніпулювання цінами на свою користь, торгуючи Bitcoin, ефірами або іншою торговою парою.
Представники проектів BeautyChain і SmartMesh не відразу відповіли на запити про коментарі. Проте заява на веб-сайті BeautyChain визнає помилку і стверджує, що торгівля буде відновлена в невизначений момент у майбутньому.
Подібним чином SmartMesh оголосила, що вживатиме заходів для запобігання маніпулюванню цінами, заявивши:
«Фонд SmartMesh візьме кількість SMT, еквівалентну кількості підроблених, і знищить її, щоб компенсувати завдані збитки, і KEEP загальну кількість SMT на рівні 3 141 592 653».
Фабіан Фогельстеллер, розробник, який першим запропонував стандарт ERC-20, сказав CoinDesk, що помилки «просто показують, що нам потрібні кращі передові практики та інструменти для виявлення цих помилок».
Примітка: Цю статтю було оновлено коментарем розробника та поясненням ролі PeckShield у виявленні помилок.
Зображення мармуру через Shutterstock
Nikhilesh De
Ніхілеш Де є керуючим редактором CoinDesk із глобальної Політика та регулювання, що охоплює регуляторів, законодавців та установи. Коли він не звітує про цифрові активи та Політика, його можна зустріти милуючись Amtrak або будуючи потяги LEGO. Він володіє <$50 у BTC і <$20 в ETH. У 2020 році він був названий Асоціацією Криптовалюта журналістів і журналістом року-дослідника.
