Cảnh báo 2 loại tấn công mới trên ERC20 token

Gần đây, công ty an ninh blockchain PeckShield đã phát hiện ra 2 loại smart contract bug mới là BatchOverFlow và ProxyOverFlow.

Trong khoảng thời gian từ ngày 22/4 tới nay, các sàn giao dịch Huobi Pro, Poloniex và OKEx phải đồng loạt ngừng các hoạt động gửi và rút các ERC20 token vì một loại tấn công mới là ‘BatchOverFlow’ (BOF).

Theo thông báo chính thức từ sàn giao dịch OKEx, BOF là một bug hợp đồng thông minh (smart contract bug), các hacker sử dụng bug này có thể tạo ra một lượng lớn token và gửi vào các tài khoản thông thường. Điều đó có thể thao túng và gây sức ép lên giá của các ERC20 token này.

Vào ngày 22/4, hệ thống quét tự động của PeckShield – công ty an ninh blockchain – đã xác định được một hoạt động không bình thường khi có người đã chuyển số lượng rất lớn token BEC (Beauty-Chain) về tài khoản của mình. Sau khi kiểm tra, PeckShield đã phát hiện ra bug BOF.

Sau vụ tấn công, giá token BEC bị biến động khá lớn, do đó Beauty Chain Foundation đã quyết định đóng băng toàn bộ giao dịch và chuyển khoản. Việc này sẽ không làm ảnh hưởng tới số lượng token trong ví của các nhà đầu tư. Beauty Chain đã làm việc với sàn OKEx để làm lại hợp đồng thông minh mới.

Tiếp đó vào ngày 24/4, PeckShield tiếp tục phát hiện được giao dịch bất thường khác của token MESH, khi có người chuyển một số lượng lớn token MESH về tài khoản của mình cùng với phí giao dịch khổng lồ. Trong cùng ngày đó, token SMT cũng gặp phải vấn đề tấn công tương tự. PeckShield gọi vụ tấn công này là lỗi ProxyOverFlow (POF). Cả BOF và POF đều là những bug integer overflow (lỗi tràn số nguyên), những lỗi này khá đơn giản và có thể được giải quyết nhanh chóng. Nhưng điều đó cũng có nghĩa các sàn giao dịch nói chung và các công ty phát hành token nói riêng cũng cần thực hiện kiểm toán an ninh token, vì các token có nền tảng ERC20 chiếm tới 90% trên tổng số token đã phát hành trên thị trường, nếu để vụ tấn công lan rộng trên quy mô lớn thì sẽ gây ra những tổn thất khổng lồ.

Quantstamp, công ty an ninh hợp đồng thông minh, đã thực hiện đợt kiểm toán các token ERC20 cho sàn giao dịch Binance. Do sàn Binance có khối lượng token niêm yết và lượng giao dịch thường nhật lớn nhất thế giới, đội ngũ của Binance đã ngay lập tức xây dựng phòng bị và thực hiện những cuộc kiểm tra để đảm bảo nhà đầu tư không gặp bất kỳ rủi ro gì.

Sau khi tiến hành kiểm toán, Quantstamp cho biết các ERC20 tokenđược niêm yết trên Binance không bị ảnh hưởng bởi BOF và POF.
Hiện nay các token bị ảnh hưởng gồm có:
BEC, MESH, UGToken, SMT, SMART, MTC, FirstCoin, GG Token, CNY Token, CNYTokenPlus

Nguồn bài viết nami.today