Wykryto lukę w zabezpieczeniach oprogramowania u tysięcy emitentów tokenów ERC-20

3 min czytania

Zgodnie z najnowszym raportem opublikowanym przez badaczy z trzech uniwersytetów zlokalizowanych na terenie Państwa Środka oraz jednego z Australii, u ponad 7 tysięcy emitentów tokenów ERC-20 wykryto poważną lukę w zabezpieczeniach oprogramowania, która pozwala na tzw. fałszywy atak depozytu.

hacker-atak

Najważniejsze informacje:

  • Badacze z 4 uniwersytetów opublikowali wyniki badań, w których poinformowali o dość poważnej luce w zabezpieczeniach oprogramowania u 7 772 emitentów tokenów ERC-20
  • Jak się okazuje, w niektórych tokenach opartych na Ethereum brakuje standardu oprogramowania wydanego w 2017 roku – EIP-20
  • W raporcie stwierdzono, że hakerzy manipulując kodem w inteligentnych kontraktach bądź skryptach programistycznych tokenów ERC-20 notowanych na giełdach z wadliwymi funkcjami weryfikacji transakcji, są w stanie wyprowadzić wygórowane kwoty, bez ponoszenia przy tym kosztów
  • Fałszywy atak depozytowy może doprowadzić do awarii takiej platformy kryptowalutowej, a następnie utraty środków przez posiadaczy tokenów ERC-20

Jakie tokeny są zagrożone?

Zgodnie z raportem opublikowanym przez badaczy z 4 uniwersytetów, zidentyfikowano aż 7 716 tokenów ERC-20 podatnych na fałszywy atak depozytowy. Ponad 90% z nich notowane jest na scentralizowanych giełdach kryptowalutowych takich jak Binance, Kraken czy Coinbase.

Obok wykryto tę samą lukę u tokenów listowanych na zdecentralizowanych giełdach, chociażby IDEX i Ether Delta. Z badań wynika jednak, że platformy te zdołały wyeliminować to zagrożenie w bieżącym miesiącu.

Badacze nie wymienili wszystkich tokenów opartych na Ethereum, których dotyczy ten problem, koncentrując się jedynie na tych o największej kapitalizacji rynkowej. Wśród nich znalazły się wirtualne monety takie, jak:

  • Bassic Attention Token (BAT) przynależny do przeglądarki internetowej Brave
  • token HPT giełdy kryptowlautowej Huobi, 
  • PWR od Power Ledger, 
  • RPL przynależny do aplikacji Rocket Pool Ethereum
  • Bear Chain (BRC).

Naukowcy nie podali również, które ze scentralizowanych giełd nie wdrożyły zalecanych procedur bezpieczeństwa związanych z tokenami ERC-20.

Jak można rozwiązać zaistniały problem?

Ze względu na to, iż inteligentne umowy na blockchainie Ethereum są trwałe, innymi słowy nie da się ich cofnąć, cała odpowiedzialność za naprawę procedury dotyczącej tokenów ERC-20 podatnych na fałszywy atak depozytowy spoczywa na giełdach kryptowalutowych.

Jeden z profesorów – Lei Wu przynależny do zespołu badawczego Uniwersytetu Zgejiang widzi rozwiązanie w wydaniu tzw. smart kontraktów proxy. Niektórzy programiści unikają jednak pisania tego typu inteligentnych umów, ponieważ niosą one ze sobą inne zagrożenia bezpieczeństwa.

Sama Fundacja Ethereum zalecała programistom wdrażanie oprogramowania ochronnego dla inteligentnych kontraktów, które stanowiłoby zabezpieczenie.

Zobacz również: Liczba wielorybów BTC osiąga nowy rekord!

Waluta Kurs Dokonaj zakupu

Kup Bitcoin Zainwestuj już dziś!

Drogi użytkowniku,

podczas przeglądania i korzystania z usług naszych serwisów wykorzystujemy pliki cookies, które służą poprawnemu i bezpiecznemu świadczeniu przez nas usług. Pliki cookies, czyli niewielkie informacje tekstowe, które są zapisywane na urządzeniu, z którego korzystasz w związku korzystaniem ze serwisu internetowego. Ich stosowanie ma na celu poprawne działanie stron internetowych serwisu Internetowego. Zamykając ten komunikat (klikając w przycisk “Akceptuję i przechodzę do serwisu” ) wyrażasz zgodę na korzystanie w Internecie z technologii automatycznego śledzenia i zbierania danych oraz przetwarzania ich przez Tokeneo TEO OU, oraz akceptujesz politykę prywatności serwisu. Zamknięcie powiadomienia poprzez “X” wiąże się jednoznacznie z wyrażeniem zgody

Pliki te pozwalają zidentyfikować oprogramowanie wykorzystywane przez Ciebie oraz dostosować serwis internetowy indywidualnie do Twoich potrzeb. Pliki cookies zazwyczaj zawierają nazwę domeny, z której pochodzą, czas przechowywania ich na urządzeniu oraz przypisaną wartość.

Pliki cookies podmiotów zewnętrznych:
Wykorzystujemy także pliki "cookies" podmiotów zewnętrznych w następujących celach:

  • tworzenia statystyk – pomagających zrozumieć sposób korzystania przez Użytkowników z Serwisu internetowego, co umożliwia ulepszanie jego struktury i zawartości za pośrednictwem narzędzi analitycznych
  • określania profilu użytkowników – a następnie wyświetlania dopasowanych pod jego kątem materiałów w sieciach reklamowych,

Podmioty zewnętrzne:

Za pomocą ustawień przeglądarki internetowej lub za pomocą konfiguracji usługi, możesz samodzielnie i w każdym czasie zmienić ustawienia dotyczące cookies, określając warunki ich przechowywania i uzyskiwania dostępu przez cookies do Twojego urządzenia. Ustawienia te możesz zmienić tak, aby blokować automatyczną obsługę cookies w ustawieniach przeglądarki internetowej bądź informować o ich każdorazowym zamieszczeniu na Twoim urządzeniu.

Szczegółowe informacje o możliwości i sposobach obsługi Cookies dostępne są w ustawieniach Twojego oprogramowania (przeglądarki internetowej).

Polityka prywatności serwisu

Niniejszy dokument określa zasady Polityki prywatności w Serwisie internetowym tokeneo.com/news/pl (dalej jako "Serwis Internetowy" lub „Serwis”). Administratorem Serwisu internetowego jest TOKENEO TEO OÜ (spółka o ograniczonej odpowiedzialności podlegająca prawu estońskiemu) z siedzibą w Tallinie (w prowincji Harju Maakond), pod adresem ul. Maakri 19-7K (w dzielnicy Kesklinna Iinnaosa), 10-145 Tallinn, w Estonii, zarejestrowana w dniu 21.12.2018 w estońskim rejestrze gospodarczym pod numerem:14630242, posługująca się numerem VAT UE: EE102149487.

Pełny dokument, w którym przeczytać można politykę prywatności usług Tokeneo dostępny jest w tym dokumencie.

Szczegółowe ustawienia mogą być zmieniane w przeglądarce.