以太坊區塊鏈上價值超過11億美元的代幣正面臨“偽造存款攻擊”的威脅。
根據一篇由來自北京大學、北京郵電大學、浙江大學和昆士蘭大學的學者發表的論文,有7772種ERC-20代幣受到這一名為“偽造存款漏洞”的軟體漏洞影響。
該研究稱,透過使用不充分交易驗證方法操縱加密貨幣交易所中支援的ERC-20代幣的智慧合約中程式碼或程式設計指令碼,駭客幾乎可以零成本欺詐性地竊取大量資金。“偽造存款攻擊”可以使交易所崩潰,使得ERC-20代幣和其他加密貨幣的持有人損失資金。
這還有可能導致一些持有者無法訪問使用其ERC-20代幣購買的與能源、房地產和保險等商品有關的服務。
研究者表示,“如果使用了偽造存款攻擊,那肯定會給代幣帶來巨大的災難。最壞的情況是,代幣必須重新發行。”
由於智慧合約在以太坊區塊鏈上是永久性的並且無法逆轉,因此加密貨幣交易所的責任在於修復易受攻擊的ERC-20代幣程式,比如釋出代理智慧合約以保留替換舊以太坊智慧合約的選擇權。
研究者還表示,對於正在開發中的ERC-20代幣,以太坊基金會建議以太坊區塊鏈開發人員實施保護性的智慧合約軟體標準。
該漏洞出現的原因在於2017年推出的ERC-20智慧合約不符合以太坊區塊鏈軟體標準EIP-20,其使用條件程式設計語句“return false”檢查代幣餘額是否不足,這使得在呼叫程式設計函式“transfer”和“transferFrom”之後不執行安全檢查的加密貨幣交易所可能會受到偽造存款攻擊。
研究表明,在去中心化交易所,CloudBric、MovieCredits、BullandBear、LOVE和EtherDOGE等交易量大且易受攻擊的代幣並不活躍。這些ERC-20代幣在IDEX、DDEX和Ether Delta三個交易所流通,這些交易所在本月修補了該漏洞。
相比之下,有7716種存在風險的ERC-20代幣在幣安、Coinbase、OkEx和Kraken等中心化交易所上市。這些代幣在今年4月份的價值超過11億美元。
