Home > General > Token Ethereum Senilai $ 1B Rentan terhadap &# 1 39;Serangan Setoran Palsu'

Token Ethereum Senilai $ 1B Rentan terhadap &# 1 39;Serangan Setoran Palsu'

///
Comments are Off
Token Ethereum Senilai $ 1B Rentan terhadap 'Serangan Setoran Palsu'

Token senilai lebih dari $ 1 miliar di blockchain Ethereum kehilangan standar perangkat lunak yang dirilis pada tahun 2017, mengaturnya untuk dibajak dan dikuras dari bursa perdagangan, menurut penelitian baru.

Kerentanan perangkat lunak, yang disebut eksploitasi setoran palsu, ditemukan di 7. 772 penerbit token ERC-20, menurut penelitian dari Universitas Peking, Universitas Pos dan Telekomunikasi Beijing, Universitas Zhejiang dan Universitas Queensland.

Penelitian tersebut menyatakan bahwa dengan memanipulasi kode dalam kontrak pintar, atau skrip pemrograman, token ERC-20 yang terdaftar di bursa mata uang kripto dengan metode verifikasi transaksi yang kurang, seorang peretas dapat dengan curang menyedot dana dalam jumlah yang sangat tinggi dengan hampir tanpa biaya. Serangan deposit palsu kemudian dapat merusak bursa, menyebabkan pemegang token ERC-20 dan mata uang kripto lainnya kehilangan dana mereka.

Baca lebih lajut: Bagaimana Cara Kerja Kontrak Cerdas Ethereum? )

Beberapa pemegang juga dapat mengalami kesulitan mengakses utilitas yang dibeli dengan token ERC-20, yang semakin terkait dengan barang dan kebutuhan seperti energi, real estat, dan asuransi.

“Jika serangan deposit palsu dilakukan, pasti akan menjadi bencana besar untuk token tersebut,” kata salah satu peneliti, kata Haoyu Wang, profesor ilmu komputer Universitas Pos dan Telekomunikasi Beijing. Kasus terburuk, token harus diterbitkan ulang.

Perbaikan yang mungkin

Karena kontrak pintar bersifat permanen di blockchain Ethereum dan tidak dapat dibatalkan, tanggung jawab jatuh pada pertukaran cryptocurrency untuk memperbaiki prosedur token ERC-20 yang sudah rentan terhadap serangan residue palsu. Fabian Vogelsteller, pengembang Ethereum yang membuat koin ERC-20, mengatakan pertukaran mata uang kripto dapat membuat daftar hitam kontrak token berbahaya.

Baca lebih lajut: Penjualan Token Kembali di 2020

Profesor Lei Wu, seorang anggota kedua dari tim peneliti, ilmuwan siber Universitas Zhejiang, juga menyarankan untuk merilis apa yang disebut kontrak pintar proxy untuk tetap membuka opsi untuk mengganti kontrak pintar Ethereum yang lama. Namun, beberapa pengembang Ethereum telah menghindari penulisan kontrak pintar proxy karena mereka membawa risiko keamanan mereka sendiri.

Untuk token ERC-20 yang sedang dikerjakan, Ethereum Foundation merekomendasikan pengembang blockchain Ethereum untuk menerapkan standar perangkat lunak kontrak pintar pelindung sebagai pengaman dari pertukaran mata uang kripto yang lalai, kata Wang dan Wu.

Cara kerjanya: Pembodohan transaksi

Kontrak pintar ERC-20 tanpa standar perangkat lunak blockchain Ethereum EIP-20, diperkenalkan pada tahun 2017, bergantung pada apa yang dikenal dalam ilmu komputer sebagai pernyataan pemrograman bersyarat untuk memeriksa saldo token yang tidak mencukupi. Pernyataan kondisional mengeluarkan pernyataan “return false” yang memblokir transaksi token agar tidak dihentikan. Pernyataan”return false” ini menjadi dasar serangan deposit palsu di bursa mata uang kripto yang tidak melakukan pemeriksaan keamanan setelah fungsi pemrograman”move” dan”transferFrom” dipanggil.

Serangan pertama bekerja dengan mengeluarkan kontrak pintar ERC-20 ke pertukaran mata uang kripto dan mentransfer satu token ERC-20 ke akun pertukaran. Pada bursa yang terdesentralisasi, fungsi pemrograman “depositToken” kemudian dapat memberi tahu fungsi “transferFrom” untuk menyimpan berapa pun token ke akun penyerang. Pada bursa terpusat, fungsi”move” dipanggil, dengan kolom”_into” dan”_worth” kontrak pintar disetel ke alamat akun penyerang dan jumlah token yang diinginkan.

Token ERC-20 mana yang berisiko? )

Token rentan dengan quantity perdagangan terbanyak di bursa terdesentralisasi, CloudBric, MovieCredits, BullandBear, LOVE dan EtherDOGE, memiliki sedikit, jika ada aktivitas, menurut penelitian. Token ERC- di 20 ini beredar di tiga bursa terdesentralisasi, IDEX, DDEX, dan dan Ether Delta, yang menambal kerentanan bulan ini, menurut para peneliti studi tersebut.

Baca lebih lajut: Volume Pertukaran Terdesentralisasi Naik 174percent di bulan Juli, Melampaui $ 4,3 miliar dan Menetapkan Rekor Lurus Kedua

Sebaliknya, seven . ) 716 token ERC-20 yang rentan terhadap serangan deposit palsu – 99,2percent dari yang teridentifikasi – terdaftar di bursa terpusat seperti Binance, Coinbase, OkEx, dan Kraken. Token yang terpengaruh di bursa terpusat, di mana sebagian besar token ERC-20 yang hilang standar diperdagangkan, bernilai lebih dari $ 1,1 miliar pada bulan April.

Token BRC Baer Chain, Basic Attention Token dari browser net Brave (KELELAWAR), token HPT bursa mata uang kripto Cina Huobi, token RPL layanan aplikasi Rocket Pool Ethereum, dan token PWR jaringan listrik Power Ledger memiliki catatan kapitalisasi pasar tertinggi dari token rentan yang disimpan di bursa terpusat. Sekitar $ 391. 000 dalam 87. 000 BRC, $ 388. 000 dalam 305. 000 BAT, $ 63. 000 dalam 1. ) 000 HRT, $ 39. 000 dalam 3. 000 RPL dan $ 28. 000 dalam 50. 000 PWR terpengaruh, kata penelitian tersebut.

Identifikasi terbatas

Ketika ditanya, para ilmuwan komputer menolak untuk mengidentifikasi koin Ethereum yang terpengaruh selain yang memiliki lima quantity teratas di bursa terdesentralisasi dan 5 kapitalisasi pasar teratas di bursa terpusat. Para peneliti juga tidak menentukan pertukaran terpusat mana yang tidak melakukan prosedur keamanan token Ethereum yang direkomendasikan.

“Untuk kerentanan dan serangan yang kami identifikasi, beberapa di antaranya telah dikonfirmasi,” kata Wang. Baik para peneliti maupun PeckShield, perusahaan keamanan blockchain yang bekerja sama dengan tim peneliti, memilih untuk mengidentifikasi secara publik token rentan selain 10 yang diketahui, kata Wang.

Yan Zhu, kepala petugas keamanan informasi Perangkat Lunak Brave, tidak mengatakan kerentanan tidak terkait dengan dompet browser Brave, dan bahwa sebelum Perhatian Dasar kontrak terpengaruh disebarkan tanpa kontrak pintar proxy sebelum standar blockchain Ethereum EIP-20 digunakan. diubah pada tahun 2017 untuk mengintegrasikan implementasi perangkat lunak yang mencegah serangan residue palsu.

Baca lebih lajut: Gemini Crypto Exchange Terintegrasi Dengan Brave Browser yang Berfokus pada Privasi

Electricity Ledger, di sisi lain, menyebarkan token ERC-20 yang terpengaruh bahkan setelah Ethereum Foundation merilis implementasi perangkat lunak EIP-20 yang diperbarui. Untuk saat ini, John Bulich, direktur teknis Ability Ledger, menyarankan pelanggan Ability Ledger untuk”menyimpan aset kripto mereka sendiri di dompet aman mereka sendiri” dan”tidak mempercayai pertukaran terpusat dengan apa pun selain saham perdagangan mereka saat ini.”

Lima penerbit token yang diketahui terpengaruh pada bursa terpusat tidak menanggapi pertanyaan apakah mereka telah memeriksa dengan bursa cryptocurrency tentang kerentanannya.

Huobi, Baer Chain, dan Rocket Pool tidak menanggapi permintaan komentar.

Penyingkapan

Pemimpin dalam berita blockchain, CoinDesk adalah socket media yang berjuang untuk standar jurnalistik tertinggi dan mematuhi kebijakan editorial yang ketat. CoinDesk adalah anak perusahaan yang beroperasi secara independen dari Digital Currency Group, yang berinvestasi dalam cryptocurrency dan startup blockchain.
You may also like
Kava CEO Brian Kerr

DeFi Akan Menghindari Dominasi Ethereum Di 2021 (Wawancara Eksklusif)

A Sydney businessman feeding a bottle of milk to a baby tiger
Promotor konser Sydney Harpreet Singh Sahni mengaku penipuan cryptocurrency senilai $ 50 juta
Bitcoin, Ethereum, Ripple, Chainlink, dan Binance Coin

Bitcoin, Ethereum, Ripple, Chainlink, dan Binance Coin

Direktur SEC Yang Mengatakan Ethereum Bukan Keamanan yang Meninggalkan Pengawas

Direktur SEC Yang Mengatakan Ethereum Bukan Keamanan yang Meninggalkan Pengawas