一些大学的研究人员发表了一份分析,澄清了平台智能合约中的“假存款漏洞”。以太币。调查结果显示,价值超过7.000亿美元的20多个ERC1代币易受两种类型的智能contarct采矿攻击的攻击。
该报告由昆士兰大学,北京邮电大学,浙江大学和北京大学的研究人员发表。
本质上,生成的令牌具有20年之后发布的ERC2017合同的子标准验证方法。安全漏洞使令牌的代码库受到操纵,黑客可以轻松窃取。通过实施“假存款漏洞”获得数百万美元的收入。
更糟糕的是,以太坊网络上建立了超过25万个智能合约,研究人员说,“只有0,36%的人根据数据集发布了源代码。”
此外,该报纸确实指出,令牌在分散式交易所(dex)和集中式交易所(cex)上也很脆弱,因为它们允许在无需任何验证的情况下交换这些代币。概述”。
研究人员已经利用了称为“ Deposafe”的工具,该工具可以测试基于ETH的大量智能合约。
报告摘录:
在这份报告中,我们系统地描述了以太坊中的伪造存款漏洞。Deposafe,推荐用于执行漏洞检测和验证的自动化工具。
我们已经通过测试大量智能合约来证明Deposafe的有效性。根据观察,我们看到ERC20智能合约中普遍存在伪造存款。
调查人员发现,使用“ I型攻击”的伪造存款漏洞可能会影响7.735个令牌,而易受“ II型攻击”的漏洞有7.716个令牌。
持有人数量和交易数量分别为695万和4.6万
本文还确定了可被黑客入侵的日常交易活跃的dex平台,包括:Ether Delta,DDEX和IDEX。此外,包括Kraken,Binance和Coinbase在内的集中式交易所(cex)也未能幸免。
本文强调:
如果CEX允许在没有完全验证的情况下交易这些代币,那么财务损失将是巨大的。
研究人员说,他们提供的信息可以“促进开发人员的意识”,并有望“推动在区块链上创建最佳实践”。
被认为易于伪造存款开采的ERC20代币包括BRC,PWR,BAT,HPT,Cloudbric,RPL,Moviecredits等。