以太坊令牌价值$ 1B易受“假存款攻击”
发布:中币网 时间:2020-08-26 00:00:00 加入收藏 打赏
根据新的研究,以太坊区块链上价值超过10亿美元的代币缺少2017年发布的软件标准,这使其被劫持并从交易交易所中流失。
根据北京大学,北京邮电大学,浙江大学和昆士兰大学的研究,在7772个ERC-20代币发行者中,该软件漏洞被称为伪造的存款漏洞。
该研究表明,通过使用不足的交易验证方法来操纵加密货币交易所中列出的ERC-20令牌的智能合约中的代码或编程脚本,黑客几乎可以免费欺诈性地窃取大量资金。 伪造的存款攻击然后可能使交易所崩溃,导致ERC-20代币和其他加密货币的持有人损失其资金。
阅读更多:以太坊智能合约如何运作?
一些持有人还可能难以访问使用ERC-20代币购买的公用事业,而这些公用事业已越来越与诸如能源,房地产和保险等商品和必需品联系在一起。
北京邮电大学计算机科学副教授王浩宇说:“如果进行了伪造的存款攻击,那肯定会给代币带来巨大的灾难。” “最坏的情况是,令牌必须重新发行。”
可能的修复
由于智能合约在以太坊区块链上是永久性的并且无法逆转,因此加密货币交易所的责任在于修复已经容易受到假存款攻击的ERC-20令牌程序。 创建ERC-20硬币的以太坊开发商Fabian Vogelsteller表示,加密货币交易所可以将恶意令牌合约列入黑名单。
阅读更多:代币销售将于2020年恢复
研究团队的第二位成员浙江大学网络科学副教授吴雷也建议发布所谓的代理智能合约,以保持替换旧的以太坊智能合约的选择权。 但是,一些以太坊开发人员避免编写代理智能合约,因为它们承担着自身的安全风险。
Wang和Wu表示,对于正在进行中的ERC-20代币,以太坊基金会建议以太坊区块链开发人员应实施保护性智能合约软件标准,以防范不专心的加密货币交易。
工作原理:交易欺骗
2017年推出的没有Eth??ereum区块链软件标准EIP-20的ERC-20智能合约依赖于计算机科学中作为条件编程语句的条件,以检查代币余额是否不足。 条件语句输出一个“ return false”语句,该语句阻止令牌交易终止。 该“ return false”语句成为对在调用编程函数“ transfer”和“ transferFrom”之后不执行安全检查的加密货币交易所进行假存款攻击的基础。
该攻击首先通过向加密货币交易所发行ERC-20智能合约并将一个ERC-20令牌转移至交易账户来进行。 然后,在去中心化交易所上,编程功能“ depositToken”可以告诉“ transferFrom”功能将许多令牌存入攻击者的帐户。 在集中式交换中,将调用“转移”功能,将智能合约的“ _to”和“ _value”字段设置为攻击者的帐户地址和所需的令牌数量。
哪些ERC-20代币面临风险?
研究表明,在去中心化交易所,CloudBric,MovieCredits,BullandBear,LOVE和EtherDOGE上交易量最大的易受攻击的代币几乎没有活动。 根据研究人员的研究,这些ERC-20令牌在三个分散的交易所IDEX,DDEX和以太币上流通,该交易所在本月修补了该漏洞。
阅读更多:分散式交易量在7月上升174%,突破$ 4.3B,并刷新第二笔直纪录
相比之下,易受伪造存款攻击的7716枚ERC-20令牌(已识别的99.2%)在币安,Coinbase,OkEx和Kraken等集中交易所上市。 集中交易平台上受影响的代币在4月份的价值超过11亿美元,其中大多数标准缺失的ERC-20代币都在交易中。
Baer Chain的BRC令牌,Brave隐私网络浏览器的Basic Attention令牌(BAT),火币中文加密货币交易所的HPT令牌,Rocket Pool Ethereum应用程序服务的RPL令牌以及Power Ledger电网区块链的PWR令牌是集中交易中持有的易受攻击的代币。 研究称,在87,000个BRC中,大约391,000美元,在305,000个BAT中388,000美元,在1,000 HRT中63,000美元,在3,000 RPL中39,000美元和在50,000 PWR中28,000美元受到影响。
识别码有限
当被问到时,计算机科学家拒绝确定受影响的以太坊代币,除了那些去中心化交易所交易量排名前五位和集中化交易所市场资本值排名前五位的硬币。 研究人员还没有确定哪些中央交易所没有采取建议的以太坊令牌安全程序。
Wang说:“对于我们确定的漏洞和攻击,其中一些已得到确认。” Wang说,研究人员和与研究团队合作的区块链安全公司PeckShield都没有选择公开识别除已知的10个之外的易受攻击的代币。
Brave Software首席信息安全官Yan Zhu表示,该漏洞未与Brave浏览器钱包关联,并且在2017年以太坊区块链标准EIP-20进行修改以集成软件之前,受影响的Basic Attention Tokens在没有代理智能合约的情况下进行了部署防止伪造存款攻击的实现。
阅读更多:Gemini Crypto Exchange与注重隐私的勇敢浏览器集成
另一方面,即使在以太坊基金会发布了更新的EIP-20软件实施之后,Power Ledger仍部署了受影响的ERC-20令牌。 目前,Power Ledger技术总监John Bulich建议Power Ledger客户“在自己的安全钱包中持有自己的加密资产”,并且“不要信任除当前交易股票以外的任何集中式交易所。”
受集中式交易所影响的五个已知发行令牌的发行人没有回应有关他们是否已通过加密货币交易所检查该漏洞的询问。
火币,贝尔链和火箭池未回复置评请求。
来源:https://www.coindesk.com/erc-20-ethereum-tokens-fake-deposit
来源:中币网 https://www.zhongbi.net/news/blocknews/240177.html 声明:登载此文仅出于分享区块链知识,并不意味着赞同其观点或证实其描述。文章内容仅供参考,不构成投资建议。投资者据此操作,风险自担。 此文如侵犯到您的合法权益,请联系我们3111859717@qq.com,我们将第一时间处理。