Mga Token ng Ethereum na Nagkakahalaga ng $1B na Mahina sa 'Fake Deposit Attack'

Mahigit sa $1 bilyong halaga ng mga token sa Ethereum blockchain ang kulang ng software standard na inilabas noong 2017, na nagse-set up sa mga ito upang ma-hijack at ma-drain mula sa mga trading exchange, ayon sa bagong pananaliksik.

Ang kahinaan ng software, na tinatawag na pekeng pagsasamantala sa deposito, ay itinuro sa 7,772 na nag-isyu ng mga token ng ERC-20, ayon sa pananaliksik mula sa Peking University, Beijing University of Posts and Telecommunications, Zhejiang University at sa University of Queensland.

Ang pananaliksik ay nagsasaad na sa pamamagitan ng pagmamanipula ng code sa mga smart contract, o programming script, ng ERC-20 token na nakalista sa mga palitan ng Cryptocurrency na may mga kulang na paraan ng pag-verify ng transaksyon, ang isang hacker ay maaaring mapanlinlang na makasiphon ng napakalaking halaga ng mga pondo sa halos walang gastos. Ang pag-atake ng pekeng deposito ay maaaring mag-crash sa exchange, na magdulot ng mga may hawak ng ERC-20 token at iba pang cryptocurrencies na mawalan ng kanilang mga pondo.

Read More: Paano Gumagana ang Ethereum Smart Contracts?

Ang ilang mga may hawak ay maaari ding magkaroon ng problema sa pag-access ng mga utility na binili gamit ang ERC-20 token, na lalong nakatali sa mga kalakal at pangangailangan tulad ng enerhiya, real estate at insurance.

"Kung ang pekeng pag-atake sa deposito ay isinasagawa, ito ay tiyak na isang malaking sakuna para sa token," sabi ng ONE sa mga mananaliksik, Haoyu Wang, Beijing University of Posts and Telecommunications associate professor of computer science. "Ang pinakamasamang kaso, ang token ay kailangang maibigay muli."

Mga posibleng pag-aayos

Dahil ang mga matalinong kontrata ay permanente sa Ethereum blockchain at hindi na mababaligtad, ang responsibilidad ay bumaba sa mga palitan ng Cryptocurrency upang ayusin ang mga pamamaraan ng token ng ERC-20 na madaling kapitan ng pag-atake ng pekeng deposito. Si Fabian Vogelsteller, ang Ethereum developer na lumikha ng ERC-20 coins, ay nagsabi na ang mga palitan ng Cryptocurrency ay maaaring i-blacklist ang mga malisyosong kontrata ng token.

Read More: Ang Benta ng Token ay Bumalik sa 2020

Ang cyber-science associate professor ng Zhejiang University na si Lei Wu, isang pangalawang miyembro ng research team, ay nagmungkahi din na ilabas ang tinatawag na proxy smart contracts upang KEEP bukas ang opsyon na palitan ang mga lumang Ethereum smart contract. Gayunpaman, iniiwasan ng ilang developer ng Ethereum ang pagsulat ng mga proxy na smart contract dahil nagdadala sila ng sarili nilang mga panganib sa seguridad.

Para sa mga token ng ERC-20 na ginagawa, inirerekomenda ng Ethereum Foundation ang mga developer ng Ethereum blockchain na ipatupad ang proteksiyon na pamantayan ng software ng smart contract bilang isang failsafe laban sa walang pakialam na palitan ng Cryptocurrency , sinabi ni Wang at Wu.

Paano ito gumagana: Duping ng transaksyon

Isang ERC-20 smart contract na walang Ethereum blockchain software standard EIP-20, na ipinakilala noong 2017, ay umaasa sa kung ano ang kilala sa computer science bilang isang conditional programming statement upang suriin ang hindi sapat na balanse ng token. Ang conditional statement ay naglalabas ng "return false" na statement na humaharang sa isang token na transaksyon mula sa pagwawakas. Ang "return false" na pahayag na ito ay nagiging batayan para sa pekeng pag-atake ng deposito sa mga palitan ng Cryptocurrency na hindi nagsasagawa ng mga security check pagkatapos tawagin ang mga function ng programming na "transfer" at "transferFrom".

Ang pag-atake ay unang gumagana sa pamamagitan ng pagbibigay ng ERC-20 smart contract sa isang Cryptocurrency exchange at paglilipat ng ONE ERC-20 token sa isang exchange account. Sa isang desentralisadong palitan, maaaring sabihin ng programming function na “depositToken” ang function na “transferFrom” na magdeposito gayunpaman maraming mga token sa account ng umaatake. Sa isang sentralisadong palitan, ang function na “transfer” ay sa halip ay tinatawag, na may mga field na “_to” at “_value” ng matalinong kontrata na nakatakda sa address ng account ng umaatake at nais na halaga ng token.

Aling mga token ng ERC-20 ang nasa panganib?

Ang mga mahihinang token na may pinakamaraming dami ng kalakalan sa mga desentralisadong palitan, CloudBric, MovieCredits, BullandBear, LOVE at EtherDOGE, ay nagkaroon ng kaunti, kung mayroon mang aktibidad, ayon sa pananaliksik. Ang mga token ng ERC-20 na ito ay umiikot sa tatlong desentralisadong palitan, IDEX, DDEX at Ether Delta, na nag-patch ng kahinaan ngayong buwan, ayon sa mga mananaliksik ng pag-aaral.

Read More: Tumaas ng 174% ang Decentralized Exchange Volumes noong Hulyo, Nangunguna sa $4.3B at Nagtakda ng Pangalawang Straight Record

Sa kabaligtaran, 7,716 sa mga token ng ERC-20 na mahina sa pag-atake ng pekeng deposito - 99.2% ng mga natukoy - ay nakalista sa mga sentralisadong palitan tulad ng Binance, Coinbase, OkEx at Kraken. Ang mga apektadong token sa mga sentralisadong palitan, kung saan ang karamihan sa mga karaniwang nawawalang ERC-20 na token ay ipinagpapalit, ay nagkakahalaga ng higit sa $1.1 bilyon noong Abril.

Ang BRC token ng Baer Chain, ang Basic Attention Token ng Brave Privacy web browser (BAT), ang HPT token ng Huobi Chinese Cryptocurrency exchange, ang RPL token ng serbisyo ng Rocket Pool Ethereum app at ang PWR token ng Power Ledger electrical grid blockchain ang may pinakamataas na naitala na market capitalization ng mga vulnerable na token na hawak sa mga sentralisadong palitan. Humigit-kumulang $391,000 sa 87,000 BRC, $388,000 sa 305,000 BAT, $63,000 sa 1,000 HRT, $39,000 sa 3,000 RPL at $28,000 sa 50,000 PWR ang sinabing apektado, ang pananaliksik ay nagsabing naapektuhan.

Limitadong pagkakakilanlan

Nang tanungin, tumanggi ang mga computer scientist na tukuyin ang mga apektadong Ethereum coins bukod sa mga may nangungunang limang volume sa mga desentralisadong palitan at ang nangungunang 5 market capitalization sa mga sentralisadong palitan. Hindi rin natukoy ng mga mananaliksik kung aling mga sentralisadong palitan ang hindi nagsagawa ng mga inirerekomendang pamamaraan ng seguridad ng Ethereum token.

"Para sa mga kahinaan at pag-atake na aming natukoy, ang ilan sa mga ito ay nakumpirma na," sabi ni Wang. Ang mga mananaliksik o ang PeckShield, isang blockchain security company na nakipagtulungan sa research team, ay hindi pinipili na kilalanin sa publiko ang mga vulnerable na token maliban sa 10 na kilala, sabi ni Wang.

Sinabi ni Yan Zhu, punong opisyal ng seguridad ng impormasyon ng Brave Software, na ang kahinaan ay hindi naka-link sa Brave browser wallet, at na ang apektadong Basic Attention Token ay na-deploy nang walang proxy na smart contract bago ang Ethereum blockchain standard na EIP-20 ay binago sa 2017 upang isama ang pagpapatupad ng software na pumipigil sa pag-atake ng pekeng deposito.

Read More: Ang Gemini Crypto Exchange ay Sumasama Sa Privacy-Focused Brave Browser

Ang Power Ledger, sa kabilang banda, ay nag-deploy ng mga apektadong ERC-20 token nito kahit na matapos na inilabas ng Ethereum Foundation ang na-update na pagpapatupad ng software ng EIP-20. Sa ngayon, pinapayuhan ni John Bulich, ang teknikal na direktor ng Power Ledger , ang mga customer ng Power Ledger na "hawakan ang kanilang sariling mga asset ng Crypto sa kanilang sariling mga secure na wallet" at "huwag magtiwala sa mga sentralisadong palitan sa anumang bagay na higit pa sa kanilang kasalukuyang stock ng kalakalan."

Ang limang kilalang nag-isyu ng mga token na apektado sa mga sentralisadong palitan ay hindi tumugon sa mga tanong kung nagsuri sila sa mga palitan ng Cryptocurrency tungkol sa kahinaan.

Ang Huobi, Baer Chain at Rocket Pool ay hindi tumugon sa mga kahilingan para sa komento.