由于潜在 BatchOverFlow 漏洞,多个交易所暂停 ERC20 代币交易

暴走时评
:以太坊智能合约出现新的漏洞 BatchOverFlow,使黑客有机会占有很多代币,从而操控市场。而且由于以太坊的“代码即法律”原则,没有处理这类漏洞的现成的传统安全响应机制。因此很多交易所暂停了此类代币的交易服务,不过因为与漏洞有关的 BatchTransfer 不是标准的 ERC20 功能,所以只有选择部署它的合约所有人才可能被影响。

翻译:Annie_Xu

发现新的智能合约漏洞 BatchOverFlow 之后,OKEX 暂停了 ERC20 代币存款。接着加密货币交易所 Poloniex 已经暂停所有 ERC-20 代币存取,HitBTC 已经发起内部自查,离线处理存款和转账。

2018 年 4 月 25 日,Poloniex 交易所发布消息:

“我们已经暂停 ERC-20 代币存取,同时我们检查所有智能合约是否存在报道中的 BatchOverflow 漏洞。我们严肃对待任何漏洞的报道,确保客户资金保持安全。感谢你的耐心!”

2018 年 4 月 25 日,HitBTC 发布消息:

“由于 ERC20 智能合约发现的潜在问题,我们已经发起一次内部自查。ERC20 代币的所有存款和转账将根据检查结果重新上线。请参看 System
Health 页面查看上线状态”。

其他因新发现的漏洞选择暂停 ERC-20 代币交易的交易所包括 Changelly、QUOINE 和其他一些。

4 月 23 日,Medium 用户 ranimes 发布了博客“多个 ERC20 智能合约中发现新的 BatchOverFlow 漏洞”(New BatchOverFlow
Bug in Multiple ERC20 Smart
Contracts),详细描述了“原本合约中未知的漏洞”如何“让攻击者利用这些有漏洞的合约,占有大量代币”,从而让他们操控价格。

博客提到,由于以太坊区块链采用的“代码即法律”原则,“并没有修复这些存在漏洞的合约的现成的流行传统安全响应机制”。

博客作者写道,处理这个漏洞的团队已经联系到,但是“其他交易所还是需要协调,还会有其他存在 batchOverflow 漏洞的可交易代币”。

博客提到,另一个问题可能出现在使用线下交易服务的非去中心化交易所,“因为他们甚至不能阻止攻击者洗代币”。

Medium 用户 John
Huxtable 评价博客,认为“值得提到的是,BatchTransfer 不是标准的 ERC20 功能,所以只有选择部署它的合约所有人才可能被影响”。

目前一些 ERC20 代币问题之前不久,报道称由于不相关的 DNS 攻击,MyEtherWallet 大约 1.5 亿美元的以太币被盗。

来源链接:chainb.com