超过10亿美元的ERC20代币智能合约面临面临“假存款攻击”的风险

这项研究是由北京邮电大学，北京大学，浙江大学（中国杭州）和澳大利亚昆士兰大学共同进行的，这使“假存款”的规模和影响引起了警觉。 ERC-20智能合约中存在“漏洞”。

该漏洞源于ERC-20令牌智能合约的错误实施（缺少2017年发布的关键标准协议更新）以及集中式（CEX）和分散式（DEX）加密交易所的验证技术不足。

研究团队开发了DEPOSafe，这是一种自动工具，可以检测漏洞，通过172,000个ERC-20合同进行搜索，并识别超过7700个面临违约的合同。 这些合约拥有超过10亿美元的用户资金，并且可能会看到黑客操纵智能合约并耗尽这些资金的交易。 疯狂的部分是，黑客只需要少量令牌就可以进行大规模攻击。

ERC-20漏洞说明

该漏洞存在于尚未实施以太坊实施协议（EIP）20 – EIP20的ERC-20智能合约上，该协议于2017年由以太坊联合创始人Vitalik Buterin和Fabian Vogelsteller引入。 这项改进“使以太坊上的所有令牌都可以被其他应用程序重新使用：钱包，CEX和去中心化交易所。”

尚未实现协议的智能合约使用条件编程语句（CPS）来检查令牌余额是否不足，而不是使用断言语句。 如果令牌余额很低，则CPS传输显示“返回False”，从而防止交易终止。 这在实际交易和开发人员计划提供攻击机会之间形成了鸿沟。

在其帐户上接受这样的智能合约后不检查其安全性验证的交易所也为成功的攻击做出了很大的贡献。 交易所产生的第一个漏洞是对CEXes的存款进行的后端安全验证不足。 在这里，攻击者利用不带2017 EIP20的ERC-20智能合约上的“ _to”和“ _value”字段在“返回错误”功能未终止转移后向其帐户发送任意数量的令牌。

具有弱安全检查的分散式交换也将面临类似的攻击，其中“ depositToken”功能可以告诉“ transferFrom”功能将多少个令牌转移到攻击者的钱包中。

仔细查看受影响的项目

该研究将CEX和DEX交易所遭受攻击的最脆弱的项目列为前五名。 在去中心化交易所中交易量最高的脆弱代币包括CloudBric，MovieCredits，BullandBear，LOVE和EtherDOGE。 尽管硬币在交易中仅表现出很少的活动，但研究表明，继续对这些代币进行交易可能会增加被黑客入侵的可能性。 处于危险中的三个主要DEX是IDEX，DDEX和EthDelta，它们已在7月更正了其安全性验证。

然而，与集中式交易所的“类型2”攻击相比，“类型1”攻击（由ERC20智能合约产生）仅占可能攻击的一小部分。 由于CEX的安全性验证不足，研究的7,772个令牌合约中有超过99％容易受到攻击。

Baer Chain的BRC令牌，Brave隐私网络浏览器的Basic Attention令牌（BAT），火币中文加密货币交易所的HPT令牌，Rocket Pool Ethereum应用程序服务的RPL令牌以及Power Ledger电网区块链的PWR令牌等令牌代表了市值最高的CEX上的五个脆弱代币。

由于安全原因，研究人员没有提供任何其他容易受到攻击的令牌。

一个可解决的问题？

ERC20智能合约是不可逆的； 因此，诸如BAT和Power Ledger之类的令牌与解决该问题无关。 Vogelsteller认为，这里是集中式和分散式交换的地方。加密货币交换应增加其面对漏洞的令牌的安全验证程序，并将其平台上的任何恶意令牌合同列入黑名单。

浙江大学助理教授雷磊建议智能合约开发者建立智能代理合约，以允许他们替换基于以太坊的旧智能合约。 但是，这也有其安全问题。

最后，敦促新的智能合约开发人员实施保护性智能合约程序，例如EIP20，以防止将来发生此类攻击。

研究还提到，在其他智能合约（例如Tether（USDt）和EOSIO）上也存在“假存款漏洞”。

以太坊（ETH）实时价格1 ETH / USD = $ 383.6466变动?-0.17％

硬币市值

430亿美元

24小时交易量

22.2亿美元

24小时VWAP

$ 386

24小时变更

$ -0.6525 var single_widget_subscription = single_widget_subscription || []; single_widget_subscription.push（“ 5?CCCAGG?ETH?USD”）;

十亿ERC20代币智能合约面临面临“假存款攻击”风险的帖子首次出现在BitcoinExchangeGuide上。

—-

原文链接：https://bitcoinexchangeguide.com/over-1-billion-erc20-token-smart-contracts-at-risk-of-facing-a-fake-deposit-attack/

原文作者：Lujan Odera

编译者/作者：wanbizu AI

玩币族申明：玩币族作为开放的资讯翻译/分享平台，所提供的所有资讯仅代表作者个人观点，与玩币族平台立场无关，且不构成任何投资理财建议。文章版权归原作者所有。