OKEx suspende depósitos de tokens ERC20 após descobrir bug crítico em smart contracts do Ethereum
A exchange OKEx suspendeu os depósitos de todos os tokens ERC20 após descobrir um suposto bug sério em, pelo menos, 12 smart contracts construídos para este padrão de token.
Em uma declaração publicada ontem, a exchange baseada em Hong Kong — terceira maior em volume diário de troca — anunciou a suspensão dos depósitos, explicando que malfeitores exploraram um recém-descoberto bug no smart contract chamado “batchOverflow”, utilizando-o para gerar uma quantidade extremamente grande de tokens e depositá-los em um endereço normal de Ethereum.
Segundo um trecho da declaração:
“Nós estamos suspendendo os depósitos de todos os tokens ERC-20 devido a descoberta de um novo bug nos smart contracts – ‘BatchOverFlow’. Ao explorar o bug, malfeitores podem gerar uma quantidade extremamente grande de tokens e depositá-los em um endereço normal. Isso faz com que muitos tokens ERC-20 fiquem vulneráveis a manipulação de valores por parte dos malfeitores.”
A exchange acrescentou:
“Para proteger o interesse público, nós decidimos suspender os depósitos de todos os tokens ERC-20 até que o bug tenha sido corrigido. Além disso, nós contatamos as equipes dos tokens afetados e tomamos as medidas necessárias para prevenir ataques.”
Changelly, um serviço de troca de criptomoedas que atua como corretora entre usuários e exchanges, também suspendeu a negociação de tokens ERC20 em resposta à vulnerabilidade.
https://twitter.com/Changelly_team/status/989083263317762049
“Queridos clientes, os tokens ERC20 estão temporariamente indisponíveis devido a uma checagem de vulnerabilidade. Nós os traremos de volta uma vez que tenhamos certeza de que não há mais vulnerabilidade nos depósitos recebidos. Acompanhem as atualizações!”
Um post no Medium publicado este fim de semana alega ter descoberto a vulnerabilidade, e o autor afirma que ela afeta mais de uma dúzia de contratos ERC20.
Segundo o post, o batchOverflow é um clássico problema, que ocorre quando uma operação tenta utilizar um valor numérico fora do alcance que a variável é capaz de representar com seu número alocado de bits.
O post inclui uma proof-of-concept, que mostra os pesquisadores gerando uma quantidade quase ilimitada de tokens a partir de um contrato vulnerável de um token ERC20.
Leia mais: Federação Brasileira de Bancos, Febraban, revela testes com blockchain
Atualmente, é incerto quantos e quais tokens são afetados pelo bug, embora pareça que o BeautyChain (BEC) esteja entre os primeiros a serem explorados, tendo as exchanges começado a suspender os depósitos de BEC em 22 de abril e, em alguns casos, retroagiram algumas negociações deste token.
Fonte: CCN