Вчера несколько крупных криптовалютных бирж, включая Poloniex, OKEX и HitBTC, заблокировали ввод всех токенов ERC20. В причине блокировки разбиралась редакция ФФ.
Биржи обратили внимание на необычную активность с токеном SmartMesh (SMT). Из неоткуда появилось 65,133,050,195,990,400,000,000,000,000,000,000,000,000,000,000 новых токенов. Как выяснилось, хакеры использовали уязвимость функции batchTransfer, которая была использована в смартконтракте этого токена. Эта уязвимость приводит к ошибке BatchOverflow и позволяет создавать любое количество токенов.
Не смотря на то, что эта функция не является стандартной для смартконтрактов и не используется в большинстве из них, биржи ввели профилактические меры для всех токенов, созданных на платформе Эфира с целью предотвратить возможную манипуляцию ценой.
На сегодняшний день выявлено 9 токенов, которые подвержены данной уязвимости: MESH, UGToken, SMT, SMART, MTC, FirstCoin, GGtoken, CNY token, CNYTokenPlus. Команды разработчиков этих криптовалют уже в курсе потенциальной угрозы и в процессе ее устранения. А разработчики токена SMT, который пострадал от этой уязвимости, заявили о сжигании поддельных монет.
Сложившаяся ситуация в очередной раз поднимает вопрос о качестве кода на языке Solidity, который используется в виртуальной машине Эфира. Виталик Бутерин, один из создателей Эфира, предлагает ввести автоматическую проверку кода на уязвимости в будущих форках, ведь это уже не первый случай, когда использование уязвимостей в некачественном коде в смартконтрактах приводило к проблемам. Так, в прошлом году, недостаток в коде смартконтракта ICO DAO привел к краже средств и появлению платформы Ethereum Classic. Позже, благодаря уязвимости в коде, был выведен из строя кошелек Parity, пользователи которого до сих пор не могут воспользоваться Эфиром, который там держали. Ориентировочная стоимость заблокированного в Parity Эфира и ERC20 токенов превышает 300 миллионов долларов.