Ibahagi ang artikulong ito
I-pause ng Crypto Exchange ang Mga Serbisyo Sa Mga Bug sa Kontrata
Ang isang pares na kamakailang na-publish na mga bug ay nagbibigay-daan sa isang umaatake na lumikha ng napakaraming bilang ng mga token ng ERC-20
Ni Nikhilesh De
Hanggang sa isang dosenang o higit pang ethereum na nakabatay sa ERC-20 na matalinong kontrata ang natagpuang naglalaman ng mga bug na nagpapahintulot sa mga umaatake na lumikha ng maraming token hangga't gusto nila.
Habang ang mga bug – unang natukoy noong Abril 22 <a href="https://peckshield.com/2018/04/22/batchOverflow/">https://peckshield.com/2018/04/22/batchOverflow/</a> at Abril 24 <a href="https://peckshield.com/2018/04/25/proxyOverflow/">https://peckshield.com/2018/04/25/proxyOverflow/</a> , ayon sa pagkakabanggit, sa isang pares ng mga post na inilathala ng blockchain security firm na PeckShield – ay T ipinagpapalit ang sarili nitong numero ng ERC-20 sa isang pamantayang numero ng ERC-20. suspindihin ang mga token ng ERC-20 habang nag-iimbestiga sila. Kasama sa mga palitan na iyon ang OKEx,Poloniex, Changelly, Quoine at HitBTC.
Ipagpatuloy Ang Kwento Sa Baba
Huwag palampasin ang isa pang kuwento.Mag-subscribe sa Crypto Daybook Americas Newsletter ngayon. Tingnan lahat ng newsletter
hiwalay na inanunsyo noong Abril 25 na sinuspinde nito ang lahat ng mga barya, ngunit mula noon ay nilimitahan iyon sa mga token na nakabatay sa ERC-20. Sa oras ng press, lumipat ang Poloniex upang ibalik ang mga serbisyo para sa mga token ng ERC-20.
Sa ONE halimbawa, naglipat ang isang attacker ng napakalaking 57.9 * 10^57 BeautyChain Token – gaya ng ipinapakita ng data ng transaksyon sa Etherscan – noong Abril 22, isang pag-unlad na nag-udyok sa paunang pagsisiyasat sa isyu.
"Ipinapakita ng aming pag-aaral na ang naturang paglilipat ay nagmumula sa isang 'in-the-wild' na pag-atake na nagsasamantala sa dati nang hindi kilalang kahinaan sa kontrata. Para sa elaborasyon, tinatawag namin itong partikular na kahinaan na batchOverflow," paliwanag ng post ni PeckShield noong ika-22. "Itinuturo namin na ang batchOverflow ay mahalagang klasikong isyu sa overflow ng integer."
Hindi mabilang na mga barya
Ang batchOverflow post ay nagbabalangkas kung paano ang batchTransfer function sa isang kontrata ay may maximum na bilang ng mga token na maaaring ipadala sa isang transaksyon, at idinagdag na ang halaga ng mga token na inililipat ay dapat na mas mababa kaysa sa kabuuang bilang ng mga token na nabuo. Gayunpaman, ang parameter na "_value" – ONE sa dalawa na tumutukoy sa kabuuang bilang ng mga token – ay maaaring manipulahin, na magpapalit ng isa pang variable, na magreresulta sa isang attacker na makakagawa ng maraming token ayon sa gusto nila.
Dagdag pa, maaaring lampasan ng umaatake ang mga hadlang sa kontrata na karaniwang magtitiyak na ang isang makatwirang bilang ng mga token ay inililipat.
"Kasama halaga na-zero, ang isang umaatake ay maaaring pumasa sa mga pagsusuri sa katinuan sa mga linya 258–259 at gawing walang kaugnayan ang pagbabawas sa linya 261," paliwanag ng post, na binanggit:
"Sa wakas, narito ang kawili-wiling bahagi: tulad ng ipinapakita sa mga linya 262–265, ang balanse ng dalawang receiver ay idadagdag ng napakalaking _value nang hindi nagkakahalaga ng kahit isang sentimos sa bulsa ng umaatake!"
Habang ang mga paunang ulat ay nagsasaad na ang lahat ng ERC-20 token ay maaaring maapektuhan, ang "batchTransfer" function ay hindi bahagi ng token standard.
Hindi inilista ng Medium post ang mga mahihinang proyekto, bagama't napansin nito na ang BeautyChain ang unang proyekto na kanilang natuklasan. Sa tanda ng kabigatan ng bug na iyon, OKEx sabi noong Abril 24 na ibinabalik nito ang mga trade sa BeautyChain Token.
Inanunsyo din ng palitan noong panahong iyon na dahil sa mga bug, sinuspinde nito ang mga pagdeposito at pag-withdraw ng isang proyekto na tinatawag na SmartMesh pangangalakal dahil sa "abnormal na mga aktibidad sa pangangalakal." Nabanggit ni PeckShield na ito ay posibleng dahil sa proxyOverflow bug, na, tulad ng batchOverflow, ay isang klasikong problema sa overflow ng integer. Maaaring manipulahin ang ilang partikular na variable upang kusang makabuo ng malalaking halaga ng mga token.
Napansin ng ONE user ng Twitter na lumikha ang isang attacker ng $5 octodecillion sa mga token ng SmartMesh.
Someone transferred 65,133,050,195,990,400,000,000,000,000,000,000,000,000,000,000,000,000,000,000.891004451135422463
— CRYPTOLOGIST 🟩🟩🟩🟩 (@kadhirvelavan) April 25, 2018
Smartmesh tokens worth
($5,712,591,867,014,630,000,000,000,000,000,000,000,000,000,000,000,000,000,000.00) to his addresshttps://t.co/w72eALHXhI
Tulad ng nabanggit sa ONE sa mga post, umiiral ang panganib na maaaring gumamit ang isang tao ng mahinang Cryptocurrency upang manipulahin ang mga presyo sa kanilang pabor sa pamamagitan ng pakikipagkalakalan sa Bitcoin, ether o isa pang pares ng kalakalan.
Ang mga kinatawan para sa mga proyekto ng BeautyChain at SmartMesh ay hindi kaagad tumugon sa mga kahilingan para sa komento. Gayunpaman, isang pahayag sa website ng BeautyChain kinikilala ang bug at nagsasaad na ang pangangalakal ay magpapatuloy sa hindi tiyak na punto sa hinaharap.
Katulad nito, inanunsyo ng SmartMesh na gagawa ito ng mga hakbang upang maiwasan ang pagmamanipula ng presyo, na nagsasabing:
"Kukunin ng SmartMesh Foundation ang katumbas na halaga ng SMT sa pekeng halaga at sisirain ito upang mabawi ang mga pagkalugi na dulot, at KEEP ang kabuuang supply ng SMT sa halagang 3,141,592,653."
Si Fabian Vogelsteller, ang developer na unang nagmungkahi ng ERC-20 standard, ay nagsabi sa CoinDesk na ang mga bug ay "nagpapakita lamang na kailangan namin ng mas mahuhusay na kasanayan at mga tool upang makita ang mga pagkakamaling iyon."
Tandaan: Na-update ang artikulong ito gamit ang komento ng developer at para linawin ang papel ng PeckShield sa pagtuklas ng mga bug.
Larawan ng marbles sa pamamagitan ng Shutterstock
Higit pang Para sa Iyo
Ano ang dapat malaman:
- As of October 2025, GoPlus has generated $4.7M in total revenue across its product lines. The GoPlus App is the primary revenue driver, contributing $2.5M (approx. 53%), followed by the SafeToken Protocol at $1.7M.
- GoPlus Intelligence's Token Security API averaged 717 million monthly calls year-to-date in 2025 , with a peak of nearly 1 billion calls in February 2025. Total blockchain-level requests, including transaction simulations, averaged an additional 350 million per month.
- Since its January 2025 launch , the $GPS token has registered over $5B in total spot volume and $10B in derivatives volume in 2025. Monthly spot volume peaked in March 2025 at over $1.1B , while derivatives volume peaked the same month at over $4B.
Higit pang Para sa Iyo
Nakikita ng Coinbase ang Crypto Recovery Ahead habang Bubuti ang Liquidity at Tumataas ang Fed Rate Cut Odds
Napansin din ng Crypto exchange ang tinatawag na AI bubble na patuloy na lumalakas at humihina ang US USD.
Ano ang dapat malaman:
- Ang Coinbase Institutional ay nakakakita ng potensyal na pagbawi ng Disyembre sa Crypto, na binabanggit ang pagpapabuti ng pagkatubig at pagbabago sa mga kondisyon ng macroeconomic na maaaring pabor sa mga asset na may panganib tulad ng Bitcoin.
- Ang Optimism ng kumpanya ay hinihimok ng tumataas na posibilidad ng mga pagbawas sa rate ng Federal Reserve, kasama ang pagpepresyo ng mga Markets sa isang 93% na pagkakataon na bumababa sa susunod na linggo, at pagpapabuti ng mga kondisyon ng pagkatubig.
- Ilang kamakailang mga pag-unlad ng institusyonal, kabilang ang pagbabaligtad ng Policy ng Crypto ETF ng Vanguard at ang greenlighting ng Bank of America sa mga alokasyon ng Crypto , ay nag-ambag sa pag-rebound ng bitcoin mula sa mga kamakailang lows.
Top Stories
