新聞資訊

价值 11 亿美元的 ERC-20 代币正面临“伪造存款攻击”的威胁

以太坊区块链上价值超过 11 亿美元的代币正面临“伪造存款攻击”的威胁。

根据一篇由来自北京大学、北京邮电大学、浙江大学和昆士兰大学的学者发表的论文,有 7772 种 ERC-20 代币受到这一名为“伪造存款漏洞”的软件漏洞影响。

该研究称,通过使用不充分交易验证方法操纵加密货币交易所中支持的 ERC-20 代币的智能合约中代码或编程脚本,黑客几乎可以零成本欺诈性地窃取大量资金。“伪造存款攻击”可以使交易所崩溃,使得 ERC-20 代币和其他加密货币的持有人损失资金。

这还有可能导致一些持有者无法访问使用其 ERC-20 代币购买的与能源、房地产和保险等商品有关的服务。

研究者表示,“如果使用了伪造存款攻击,那肯定会给代币带来巨大的灾难。最坏的情况是,代币必须重新发行。”

由于智能合约在以太坊区块链上是永久性的并且无法逆转,因此加密货币交易所的责任在于修复易受攻击的 ERC-20 代币程序,比如发布代理智能合约以保留替换旧以太坊智能合约的选择权。

研究者还表示,对于正在开发中的 ERC-20 代币,以太坊基金会建议以太坊区块链开发人员实施保护性的智能合约软件标准。

该漏洞出现的原因在于 2017 年推出的 ERC-20 智能合约不符合以太坊区块链软件标准 EIP-20,其使用条件编程语句“return false”检查代币余额是否不足,这使得在调用编程函数“transfer”和“transferFrom”之后不执行安全检查的加密货币交易所可能会受到伪造存款攻击。

研究表明,在去中心化交易所,CloudBric、MovieCredits、BullandBear、LOVE 和 EtherDOGE 等交易量大且易受攻击的代币并不活跃。这些 ERC-20 代币在 IDEX、DDEX 和 Ether Delta 三个交易所流通,这些交易所在本月修补了该漏洞。

相比之下,有 7716 种存在风险的 ERC-20 代币在币安、Coinbase、OkEx 和 Kraken 等中心化交易所上市。这些代币在今年 4 月份的价值超过 11 亿美元。

图片来源:pixabay

作者 Xiu Mu

本文来自比推 Bitpush.News,转载需注明出处。

声明 : 比推所有文章都只代表作者观点,不构成投资建议。投资有风险,后果自负。

来源链接:mp.weixin.qq.com