Više berzi suspendovalo trgovinu ERC20 tokenima zbog potencijalne batchOverFlow greške

Kripto berza Poloniex je suspendovala sve uplate i isplate ERC-20 tokena (na bazi Itirijuma), a HitBTC je započeo interni pregled koji prihvata uplate i isplate oflajn, nakon odluke OKEX-a da zaustavi ERC20 uplate nakon otkrića potencijalne nove greške u pametnom ugovoru pod nazivom batchOverFlow.

We've temporarily suspended ERC-20 token deposits and withdrawals while we review all smart contracts for exposure to the reported batchOverflow bug. We take any reports of vulnerabilities very seriously to ensure that customer funds remain safe. Thank you for your patience!

— Poloniex Exchange (@Poloniex) April 25, 2018

Druge berze koje su odlučile da zaustave trgovanje ERC-20 tokenima zbog novootkrivene greške uključuju Changelly, QUOINE i niz drugih.

23. aprila, Medium korisnik je objavio blog pod naslovom "Nova batchOverflow greška u više ERC20 pametnih ugovora", detaljno opisujući kako bi "ranije nepoznata rupa u ugovoru" mogla omogućiti "napadaču da dođe u posed ogromne količine tokena korišćenjem ovih ranjivih ugovora" i tako omogućavajući manipulaciju cenama.

U blog postu se navodi da, zbog principa "kod je zakon" koji se koristi na itirijumovom (ETH) blokčeinu, "ne postoji tradicionalni dobro poznati bezbednosni mehanizam koji bi mogao da popravi ove ugrožene ugovore."

Autor bloga piše da su kontaktirani timovi koji rade sa ugovorom, ali "druge berze takođe moraju biti koordinisane i još uvek postoje drugi razmenljivi tokeni osetljivi na batchOverflow."

U blogu se napominje da bi se mogao pojaviti još jedan problem sa necentralizovanim berzama koje koriste oflajn trgovinske usluge "jer ne mogu čak ni da zaustave napadače da operu svoje tokene."

Medium korisnik Džon Hakstabl je komentarisao na blog postu da misli da "vredi napomenuti da batchTransfer nije standardna ERC20 funkcija, tako da bi bili pogođeni samo vlasnici ugovora koji su izabrali da ga implementiraju".

Trenutni problem sa nekim ERC20 tokenima pojavio se odmah nakon što je MyEtherWallet objavio da je oko 150 miliona dolara ETH-a ukradeno u nepovezanom DNS haku.

 

Pripremio: Aleksandar Bondžulić