Chengdu LiaAn Technology Co (Chain Security), компанія, що займається аудитом безпеки через свою платформу VaaS (Verification as a Service) виявила в смарт-контрактах EOS помилку, аналогічну batchOverflow.
Критична вразливість у смартконтрактах мережі EOS, включає його до списку токенів стандарту ERC-20, які знаходяться під загрозою злому та крадіжки хакерам.
Уразливість отримала назву batchOverFlow – атака дає хакерам можливість виведення з майданчика майже безлім. Баг дозволяє зловмисникам змінювати суму транзакції, вказуючи в потрібному рядку потрібне їм число. Токени, стандарту ERC-20, обчислюють значення змінної «сума» шляхом множення значення змінних «cnt» і «value». Внесення такої незрівнянно великої суми в код призводить до його переповнення і відкриває шахраям доступ до необмеженої кількості монет. Використовуючи цю вразливість, хакеру достатньо встановити значення змінної «amount» на власний розсуд. Так, при зломі біржі OKEх шахраям вдалося викрасти 8 vigintillion одиниць BEC, це вісімка з 63 нулями.
Зовсім недавно, вразливість паралізувала торги кількох токенів ERC-20, на великих біржах криптовалют. Huobi, OKEx, Poloniex & HitBTC і навіть Changelly призупинили торгівлю на всіх маркерах ERC20. У децентралізованих майданчиків, реалізованих на блокчейні Ethereum, захисту від бага поки немає. Виявлена вразливість доводить необхідність подальшого налаштування коду платформи EOS та встановлення механізму аудиту смарт-контрактів.
Читайте також
Відбувся реліз нової версії Bitcoin Core
До 10-річчя Bitcoin команда розробників випустила випуск Bitcoin Core 0.17.0. Сімнадцяте покоління оригінального клієнтського програмного забезпечення біткоїну, запущеного Сатоші Накамото майже десятиліття тому.
5 Airdrops, цікавих для участі
Нові токени ERC20 виходять на ринок щомісяця, і багато з них безкоштовно розповсюджуються серед користувачів ETH у рамках рекламної кампанії. Така безкоштовна роздача (Airdrop або ейрдроп) безсумнівно заслуговує на увагу і дає вигідну можливість. Однак змітати все нема раці...
