OKExChangellyPoloniexQUOINE、およびHitBTCはすべて内部調査とEthereumベースのトークンの預金、引き出し、および/または移転の停止を含むそれぞれの措置を発表しました

重要なことに、ERC20トークン標準自体に脆弱性は検出されておらず、1人のredditユーザーが指摘したように、2つの同様のバグの少なくとも1つはEDCCに追加された機能でした。 

問題のあるソフトウェアのバグは、「命名されbatchOverflow、」4月22日、とに発見された「proxyOverflow、」4月24日に発見され、ミディアムパブリッシングプラットフォーム上の光にしました。

これらの特定の悪用は、潜在的にハッカーが非常に多くのトークンの合計を得ることを可能にするが、設計上明確に斬新ではない。Mediumの著者は、 "batchOverflowは本質的に古典的な整数オーバーフローの問題です"と指摘しました。同じことがproxyOverflowについても言えます。

コンピュータプログラミングに関して、「整数オーバーフロー」は、設計上の欠陥の結果であり、通常、所定のシステムにおける数学的演算が、システムの表現可能な範囲外の値を生成するときに生じる。 

たとえば、batchOverFlowエクスプロイトは、このようにERC20 契約ロジックを騙して発見されました研究者によると、取引を認証するために設計された計画された健全性チェックは、スプーフィングされた金額によってだまされていました。

研究者は、技術的に複雑なアプローチでERC20 契約利用するのではなく、数学的な創造性と初歩的な契約プログラミングが、15行未満のコードを含むスクリーンショットで説明したこのエクスプロイト発見においてどのように大きな役割を果たすかを強調します。

ソース

研究者らは、8ビット( "0"を持つ)の "_value"を入力することにより、 "_value"が可能かどうかを検証するための論理チェックを無効にしました。これは、 "cnt"に "_value"を掛けることに基づいています。これは、例の契約コードの257行目に示されている式です。

この式の積は「量」であり、数学的に検証可能でなければなりません。しかし、著者によれば、2段階プロセスは、この位置からbatchOverFlowエクスプロイトを開始することができます。

まず、8つのvigintillion "_value"を持つ2つの "_receivers"を脆弱なbatchTransfer関数に渡し、その量を "オーバーフロー"させてゼロにリセットします(車の走行距離計は999,999マイル後にゼロにリセットされます車が運転されているにもかかわらず、100万人に)。

259行目に記載されているように、額のゼロ調整は、契約の論理チェックが失敗した理由です。さらに、著者は、「金額がゼロになると、攻撃者は258-259行目のサニティチェックをパスし、261行目の減算を無関係にすることができます」と述べました。最後に、262行目から265行目では、現在締結されている契約の下での両方の "_receivers"のバランスが、巨大な "_value"に追加されます。

著者はさらなる懸念を表明した:

「Ethereum ブロックチェーン宣伝されたコードシソールの原則により、これらの脆弱な契約を是正​​するための伝統的なセキュリティレスポンスメカニズムは存在しません!

契約セキュリティはますます特に大いに討論の光の中で、後半のようイーサリアムの取り組みの最前線に押されたDのパリティ ハードフォークのPR oposal。

「これらの脆弱性と壊滅的な影響から回復するための適切な方法は、すべての生態系メンバーの調整と支援が必要です」と、著者は書いています。「展開前に賢明な契約を徹底的に監査することの重要性を強調してはいけません。

参考URL:https://www.ethnews.com/contract-exploits-spark-erc20-token-suspensions-across-several-cryptocurrency-exchanges 

●無料でLINE@で有益情報を随時流しています。
https://line.me/R/ti/p/%40gtu0961z 
興味ある方は登録してください。


■yobit net

https://yobit.net/en/

●XRPブログ作者に募金

アドレス:
rE86FEdaEXsKJ6GVvNJHwKdAq757nuJdom

●アマゾン商品がビットコインを使って15%off!
●NEMが1時間に1回最大100XEM貰える!


人気ブログランキング