Обнаружен критичный баг в сети Ethereum, биржи приостанавливают работу

27 апреля 2018 г.

Было обнаружено, что более дюжины смарт-контрактов ERC-20, основанных на Ethereum, содержат ошибки, которые позволяют злоумышленникам беспрепятственно создавать себе токены.

Хотя ошибки, выявленные 22 и 24 апреля, не привязаны к стандарту ERC-20, ряд бирж приостановил торговлю токенами ERC-20, пока ведётся расследование. Среди них: Poloniex, Changelly, Quoine и HitBTC.

В одном из случаев злоумышленник заполучил колоссальные 57,9 октодециллионов (10^57) токенов BeautyChain. 1 токен стоит 2,5$, что означает, что этот хакер является самым богатым человеком за всю историю, однако, к сожалению для него, лишь в теории.

«Наше исследование показывает, что такая передача происходит от атаки «in-the-wild», которая использует ранее неизвестную уязвимость в контракте. Мы называем эту конкретную уязвимость batchOverflow, - пояснили в Coinmonks. «Мы отмечаем, что batchOverflow, по сути, представляет собой проблему с переполнением целочисленного класса».

Пост о batchOverflow описывает, как функция batchTransfer в смарт-контракте имеет максимальное количество токенов, которые могут быть отправлены в транзакции, добавив, что значение переносимых токенов должно быть меньше общего количества токенов, которые были сгенерированы. Тем не менее, параметром «_value» (одним из двух, определяющий общее количество токенов) можно манипулировать, что приводит к изменению другой переменной, в результате чего злоумышленник сможет создать столько токенов, сколько захочет.

Фабиан Фогельстеллер, разработчик, который впервые предложил стандарт ERC-20, заявил, что «подобные ошибки лишь доказывают, что нам нужны лучшие и передовые методы и инструменты для обнаружения этих ошибок».

Комментарии

Никто ещё не оставил комментариев. Желаете быть первым?