Un importante nรบmero de bolsas de intercambio de criptomonedas ha suspendido sus transacciones con tokens creados con el protocolo ERC-20 de Ethereum, debido a que sus contratos inteligentes presentan fallas en el cรณdigo, lo que permite su manipulaciรณn.
OKEx, Poloniex, Huobi, Coinone y HitBTC han sido algunas de las operadoras que han suspendido sus operaciones con este tipo de token, muy utilizado en las Ofertas Iniciales de Moneda (ICO). De acuerdo con las investigaciones del usuario Rainmes, publicadas a travรฉs de la cuenta enย Medium de Coinmonks, existen mรกs de 12 tokens sensibles a las fallas halladas. OKEx incluso publicรณ un comunicado:
Hemos decidido suspender los depรณsitos de todos los tokens ERC-20 hasta que se solucione el error. Ademรกs, nos hemos puesto en contacto con los equipos de desarrollo de los tokens afectados para realizar una investigaciรณn y tomar las medidas necesarias para evitar el ataque.
Poloniex utilizรณ su cuenta en la red social Twitter para informar sobre la suspensiรณn temporal los depรณsitos y retiros de estos token y su decisiรณn de explorar los contratos inteligentes que utilizan este protocolo. La misma decisiรณn de inspecciรณn fue tomada por HitBTC, que suspendiรณ todos los depรณsitos y transferencias para una โrevisiรณn internaโ.
We’ve temporarily suspended ERC-20 token deposits and withdrawals while we review all smart contracts for exposure to the reported batchOverflow bug. We take any reports of vulnerabilities very seriously to ensure that customer funds remain safe. Thank you for your patience!
— Poloniex Exchange (@Poloniex) 25 de abril de 2018
ยซHemos suspendido temporalmente depรณsitos y retiros de token ERC-20 mientras revisamos todos los contratos inteligentes expuestos al error reportado batchOverflowยป, se lee en el texto.
Las fallas: vacรญos en el cรณdigo del contrato inteligente
Una de las fallas fue descubierta luego de que una transacciรณn sumamente elevada con un token llamado BEC llamara la atenciรณn del investigador. Esta anomalรญa surge aprovechando un vacรญo en el contrato que, hasta ahora, no habรญa sido descubierto. Esta falla fue llamada batchOverflow. Al aprovecharse de este error, los atacantes pueden generar una cantidad extremadamente grande de tokens y depositarlos en una direcciรณn normal. Esto permite que los tokens afectados sean vulnerables a la manipulaciรณn de precios.
La otra anomalรญa, llamada proxyOverflow Bug, tambiรฉn aprovecha un error en el cรณdigo del contrato inteligente para que el atacante pueda transferir una gran cantidad de tokens, pudiendo aprovecharse tambiรฉn con el cobro de las altas comisiones enviadas a una direcciรณn manipulada. Esta falla se encontrรณ tras el examen de una transacciรณn inusual del token MESH.
Algunos miembros de la comunidad han llamado a mantener la calma, pues a pesar de que se trata de una falla significativa, no afecta a todos los tokens ERC-20 y ha sido atendida en buena forma por los operadores de las bolsas de intercambio de criptomonedas. Ademรกs, de acuerdo con la comunidad de traders llamada Whalepool, el bug no afecta ningรบn token ERC-20 importante.
Imagen destacada por Tomasz Zajda / stock.adobe.com
