Apar tot felul de buguri în contractele smart ethereum. Schimburi printre care Okex, Poloniex, Coinone și Hitbtc au suspendat azi depozitele de jetoane ERC20, după ce au descoperit un mușuroi întreg de buguri în contractele smart care guvernează mai multe monede. Știrea vine în aceeași săptămână în care comunitatea ethereum a votat să nu recupereze etherii pierduți care au rămas blocați în contractul smart Parity anul trecut, tot din cauza unui bug.
Ethereum se luptă cu un bug enervant
E mai greu decât pare să creezi jetoane ERC20, adică pe protocolul ethereum, care să nu aibă buguri care pot fi exploatate. La început de an, cercetătorii au pretins că au găsit 34 000 de contracte smart care sunt vulnerabile la buguri. O postare pe un blog a studiat îndeaproape una dintre aceste situații – un mușuroi întreg de buguri care afectează contractele smart ERC20. Descoperirea sa este suficient de serioasă cât să îi facă pe cei de la Okex să anuțe că vor suspenda depozitele de jetoane ERC20.
„Suspendăm depozitele de jetone ERC20 din cauză că s-a descoperit un nou bug la contractul smart – Batchoverflow. Exploatând acest bug, atacatorii pot să genereze un număr foarte mare de jetoane și să le depoziteze într-o adresă normală. Asta face ca aceste jetoane ERC20 să fie vulnerabile la atacuri și la manipularea de preț. Pentru a proteja interesul public, am hotărât să suspendăm depozitele de jetoane ERC20 până când problema e rezolvată. De asemenea, am contactat echipele jetoanelor afectate care să facă investigații și să ia măsurile necesare pentru prevenirea atacului.”
Multe alte schimburi le-au luat exemplul celor de la Okex.
Vânătoarea de buguri este o luptă continuă
Posibilitatea ca atacatorii să fure, să înghețe sau să cloneze jetoane ERC20 este un scenariu de coșmar pentru orice proiecte care se construiesc peste protocolul ethereum, dar și pentru jetoanele deja existente. Echipele or să studieze mai îndeaproape codul ca să elimine vulnerabilitățile.
Unul din jetoanele afectate este Smartmesh (SMT), o monedă tranzacționată pe Huobi, Gate.io, Bitbtc și Okex. Este un contract smart care arată acum semne fragrante de exploatare, cu o balanță și o valoare a monezii cu 30 de cifre. Sute de milioane de SMT au fost transferate din contractul Smartmesh în ultimele 24 de ore.
Postarea pe blog publicată pe 22 aprilie identifică de asemenea Beautychain, care ar fi căzut pradă aceluiași exploit. Autorul scrie:
„Rulăm sistemele pentru a scana și analiza alte contracte. Rezultatele noastre arată că mai mult de 12 contracte sunt de asemenea vulnerabile la batchoverflow. Pentru a demonstra, am tranzacționat cu un contract vulnerabil (care nu se tranzacționează la niciun schimb), ca exploit proof-of-concept.”
În timp ce jetoanele ERC20 care au fost exploatate par să includă monede mai puțin cunoscute, riscul ca bugul să apară nu este limitat doar la aceste proiecte. Dacă atacatorii pot să creeze jetoane din nimic, le pot tranzacționa la schimb pentru ehtereum și bitcoin. Acest lucru are potențialul să afecteze prețul acestor active și să afecteze încrederea în ecosistemul ethereum în special.
Războiul pentru următoarea generație de blockchainuri s-a înfierbântat și competitori ca EOS sunt pregătiți de lansare. Bugurile contractelor smart sunt o povară de care ethereum s-ar putea lipsi.