25 апреля представители ICO SmartMesh выпустили свое обращение к инвесторам:
Ранним утром 25 апреля команда SmartMesh обнаружила уязвимость в смарт-контракте, которая позволила выпускать любое кол-во токенов просто так.
Чтобы защитить интересы всех инвесторов, команда уже общалась с биржами, такими как Huobi, OKEX и Gate.io, чтобы приостановить все транзакции и переводы SMT. Команда SmartMesh немедленно приняла экстренные меры после обнаружения недостатка и в дополнение к активному сотрудничеству с основными биржами заморозила адреса, содержащие любые «поддельные жетоны», которые не встречались в больших количествах. Ошибка была полностью решена тем временем, и инцидент находится под контролем.
Основная сеть SmartMesh Spectrum выйдет в эфир 30 апреля. Эта сеть будет независима от Ethereum, а также будет более безопасной!
Торговые и трансфертные операции SMT вернутся к норме как можно скорее. Пожалуйста, не беспокойся! Благодарим вас за вашу неизменную уверенность и поддержку.
Давайте посмотрим о каких таких не больших количествах речь:
65,133,050,195,990,400,000,000,000,000,000,000,000,000,000,000,000,000,000,000 токенов это не много по мнению представителей SmartMesh.
Сущие копейки... Интересно что будет с ценой токена если кому нибудь удастся залить хоть малую часть этих токенов на биржу?
Ссылка на кошелек c "напечатаными" токенами: https://etherscan.io/token/0x55f93985431fc9304077687a35a1ba103dc1e081
Как сообщили исследователи из компании Peckshield, в ходе атаки злоумышленники проэксплуатировали ранее неизвестную уязвимость в системе смарт-контрактов, получившую название batchOverflow. По словам специалистов, batchOverflow представляет собой проблему целочисленного переполнения, при которой вычисленное в результате операции значение не может быть помещено в n-битный целочисленный тип данных.
«Уязвимая функция находится в batchTransfer. Локальная переменная ammount вычисляется как сумма cnt и _value. Второй параметр, а именно _value, может быть произвольным 256-битным целым числом, например 0x8000,0000,0000,0000,0000,0000,0000,0000,0000,0000,0000,0000,0000,0000,0000,0000 (63 нуля). Имея два _receivers, переданных в batchTransfer (), с подобным значением можно переполнить сумму и сделать ее равной нулю. При обнулении суммы злоумышленник может затем пройти проверки на работоспособность в строках 258-259 и сделать вычитание в строке 261 неактуальным», - отметили эксперты.
По данным специалистов, batchOverflow обнаружена в более чем десятке различных контрактов ERC20.
А что думайте Вы по этому поводу?
