OKEx Menghentikan Perdagangan ERC20 Setelah Menemukan Bug Mempengaruhi Mayoritas Token

OKEx, pertukaran terbesar ketiga di dunia berdasarkan volume perdagangan, hanya menghentikan aktivitas ERC20 karena kerentanan mereka memanggil BatchOverFlow.

“Kami menangguhkan simpanan semua token ERC-20 karena penemuan bug kontrak pintar baru - 'BatchOverFlow'. Dengan mengeksploitasi bug, penyerang dapat menghasilkan token dalam jumlah sangat besar, dan menyimpannya ke alamat normal. Hal ini membuat banyak token ERC-20 rentan terhadap manipulasi harga para penyerang, ” tulis perusahaan itu dalam pengumuman dukungannya.

Masalah spesifik dengan ERC20 adalah bahwa ia tidak mengembalikan kesalahan ketika bilangan bulat kelebihan beban. Itu terus menjalankan kode. Ini memungkinkan peretas untuk "membebani" bilangan bulat ke titik yang menciptakan apa yang diketahui dalam komunitas pemrograman sebagai "luapan".

Melakukan reverse-engineering serangan
BeautyChain adalah salah satu yang pertama menjadi korban serangan seperti itu pada hari Minggu, ketika penyerang menghasilkan 10 ^ 58 (itu adalah satu dengan 58 nol setelahnya) token BEC dengan mengambil keuntungan dari kerentanan overflow bilangan bulat dalam fungsi "batchTransfer ()" dari kode kontrak cerdasnya.

“Pada 13:18 pada 22 April 2018, harga BEC berfluktuasi [ sic ] secara signifikan karena masalah keamanan kontrak cerdas pada BEC. Setelah studi oleh Beauty Chain Foundation, Beauty Chain telah menangguhkan semua transaksi dan transfer, ”situs organisasi tersebut saat ini membaca.

Dengan melihat kode kontrak cerdas , kita dapat melihat fungsi "batchTransfer ()" dan menemukan bahwa ia melewati tiga argumen, termasuk yang disebut "_value", mewakili jumlah token yang harus dikirim ke array alamat yang dilewatkan ke dalam fungsi sebagai "_receivers".

Bilangan bulat “_value” adalah masalahnya di sini. Para peretas bisa saja melewatkan "_value" dengan jumlah yang sangat besar dan fungsi tersebut akan masuk tanpa melakukan pemeriksaan. Dengan default ke nol, "require ()" yang bersyarat di kemudian hari dalam kode tidak melakukan tugasnya dan platform mengirimkan jumlah token yang sangat besar kepada para peretas.

Pengumuman suspensi Beauty Chain membuat token BEC kehilangan setengah nilainya meskipun fakta bahwa tim itu berhasil menghentikan sementara kontrak pintar sebelum para peretas dapat mencairkan token mereka. Startup berjanji akan bekerja meluncurkan kontrak tambalan dalam waktu dekat.

Bahaya dari peniru
OKEx menggunakan kata "banyak" untuk menggambarkan proporsi token ERC20 yang dipengaruhi oleh bug ini karena suatu alasan. Ada banyak dari mereka yang menggunakan kontrak pintar dengan fungsi batch khusus ini.

Ketika kode distandardisasi dan disalin dari satu kontrak cerdas ke yang berikutnya, bukan ditulis dari awal, kurangnya keragaman memaparkan kelemahan dalam ekosistem kolektif. Untuk mencegah situasi semacam ini, kontrak cerdas ERC20 harus ditulis tanpa menggunakan generator kode. Dan untuk itu, orang akan membutuhkan sumber daya untuk menyewa tenaga terampil.

Untuk saat ini, OKEx mengatakan bahwa mereka memiliki situasi terkendali dan telah "menghubungi tim token yang terkena dampak untuk melakukan penyelidikan dan mengambil tindakan yang diperlukan untuk mencegah serangan." Namun, penting untuk dicatat bahwa kontrak pintar tidak sempurna dan perusahaan harus melakukan terbaik mereka untuk mengaudit kode mereka, mungkin bahkan melibatkan karunia bug untuk memastikan bahwa mereka mendapatkan individu yang paling berbakat yang mungkin untuk mencari kemungkinan kerentanan.

Share: