Криптовалютный обменник Poloniex приостановил все депозиты и снятие токенов на основе ERC-20 (Ethereum), а HitBTC инициировала внутреннюю проверку, которая затронет депозиты и все транзакции автономном режиме. OKEX приняла решение приостановить работу с токенами на основе ERC20 после открытия потенциальной уязвимости batchOverFlow.
«Мы временно приостанавливаем все действия с токенами ERC-20, в то время как мы проверяем все смарт-контракты на наличие предполагаемой уязвимости batchOverflow. Мы очень серьезно относимся к любым сообщениям об уязвимостях, наша цель - гарантировать безопасность средств клиентов. Спасибо за ваше терпение!
- Биржа Poloniex (@Poloniex) 25 Апреля 2018
Из-за потенциальной проблемы, обнаруженной в смарт-контрактах ERC20, мы инициировали внутреннюю проверку. Все депозиты и переводы в токенах ERC20 будут осуществляться в режиме онлайн по результатам проверки. Пожалуйста, проверяйте данные о работоспособности системы в режиме.
— HitBTC (@hitbtc) 25 апреля 2018 года,
Среди других бирж, которые решили приостановить торговлю токенами ERC-20 из-за недавно обнаруженной уязвимости, можно отметить Changelly, QUOINE и ряд других.
23 апреля пользователь Ranimes опубликовал блог под названием "Новая ошибка batchOverflow в нескольких Смарт-контрактах ERC20", в котором подробно описал, что "ранее неизвестная Уязвимость в контракте может позволить злоумышленнику получить огромное количество токенов, используя эти уязвимые контракты". Оказалось, злоумышленник получает возможность манипулировать ценами.
В блоге отмечается, что из-за принципа “code-is-law”, который используется в Блокчейне Ethereum (ETH), “не существует традиционного известного механизма реагирования, предназначенного для исправления этих уязвимых контрактов.”
Автор блога пишет, что уже существуют команды, которые работают с этой уязвимостью, но "существуют другие торгуемые токены на нелицензированных биржах, уязвимые для batchOverflow”.
В блоге упоминается, что проблема может возникнуть с нецентрализованными биржами, которые используют офлайн услуги, “поскольку они не могут остановить злоумышленников от отмывания своих токенов.”
Пользователь Джон Хакстейбл прокомментировал уязвимость в блоге следующим образом: «стоит отметить, что batchTransfer не является стандартной функцией ERC20, поэтому только владельцы контрактов, которые позволили ее реализовать, могут оказаться под угрозой».
Текущая проблема с некоторыми токенами ERC20 была обнаружена сразу после того, вчера стало известно о краже с MyEtherWallet около $150 млн в ETH.
