Error crítico encontrado en la red de Ethereum, los intercambios dejan de funcionar

27 de abril de 2018

Se informó que más de una docena de contratos inteligentes ERC-20 contienen errores que permiten a los delincuentes generar tokens.

Aunque los errores encontrados el 22 y 24 de abril no están relacionados con el estándar ERC-20, varios intercambios han dejado de comercializar tokens ERC-20 mientras la investigación está en curso. Entre ellos se incluyen Poloniex, Changelly, Quoine y HitBTC.

Una vez que un hacker obtuvo hasta 57,9 octodecillion (10 ^ 57) de tokens de BeautyChain con $ 2.5 por cada uno, lo que significa que el hacker es el hombre más rico que haya existido. Pero desafortunadamente para él, esto es solo una teoría.

"Nuestro estudio muestra que dicha transferencia proviene de un ataque 'in-the-wild' que explota una vulnerabilidad previamente desconocida en el contrato. Para su elaboración, llamamos a esta vulnerabilidad particular batchOverflow. Señalamos que batchOverflow es esencialmente un clásico problema de desbordamiento de enteros ", explica una firma de seguridad de la cadena de bloques PeckShield.

La publicación en batchOverflow describe cómo la función batchTransfer en un contrato inteligente tiene un número máximo de tokens que pueden enviarse en una transacción y agrega que el número de tokens enviados debe ser menor que el de todos los tokens generados. No obstante, el parámetro "_value" (uno de los dos que definen el número general de tokens) puede ser manipulado, lo que altera el otro. Como resultado, el hacker puede generar tantos tokens como desee.

Fabian Vogelsteller, desarrollador que sugirió por primera vez el estándar ERC-20, ha afirmado que estos errores demuestran que necesitamos herramientas y métodos mejores y más innovadores para detectarlos.

Comentarios

Никто ещё не оставил комментариев. Желаете быть первым?