Un importante número de bolsas de intercambio de criptomonedas ha suspendido sus transacciones con tokens creados con el protocolo ERC-20 de Ethereum, debido a que sus contratos inteligentes presentan fallas en el código, lo que permite su manipulación.
OKEx, Poloniex, Huobi, Coinone y HitBTC han sido algunas de las operadoras que han suspendido sus operaciones con este tipo de token, muy utilizado en las Ofertas Iniciales de Moneda (ICO). De acuerdo con las investigaciones del usuario Rainmes, publicadas a través de la cuenta en Medium de Coinmonks, existen más de 12 tokens sensibles a las fallas halladas. OKEx incluso publicó un comunicado:
Hemos decidido suspender los depósitos de todos los tokens ERC-20 hasta que se solucione el error. Además, nos hemos puesto en contacto con los equipos de desarrollo de los tokens afectados para realizar una investigación y tomar las medidas necesarias para evitar el ataque.
Poloniex utilizó su cuenta en la red social Twitter para informar sobre la suspensión temporal los depósitos y retiros de estos token y su decisión de explorar los contratos inteligentes que utilizan este protocolo. La misma decisión de inspección fue tomada por HitBTC, que suspendió todos los depósitos y transferencias para una “revisión interna”.
We’ve temporarily suspended ERC-20 token deposits and withdrawals while we review all smart contracts for exposure to the reported batchOverflow bug. We take any reports of vulnerabilities very seriously to ensure that customer funds remain safe. Thank you for your patience!
— Poloniex Exchange (@Poloniex) 25 de abril de 2018
«Hemos suspendido temporalmente depósitos y retiros de token ERC-20 mientras revisamos todos los contratos inteligentes expuestos al error reportado batchOverflow», se lee en el texto.
Las fallas: vacíos en el código del contrato inteligente
Una de las fallas fue descubierta luego de que una transacción sumamente elevada con un token llamado BEC llamara la atención del investigador. Esta anomalía surge aprovechando un vacío en el contrato que, hasta ahora, no había sido descubierto. Esta falla fue llamada batchOverflow. Al aprovecharse de este error, los atacantes pueden generar una cantidad extremadamente grande de tokens y depositarlos en una dirección normal. Esto permite que los tokens afectados sean vulnerables a la manipulación de precios.
La otra anomalía, llamada proxyOverflow Bug, también aprovecha un error en el código del contrato inteligente para que el atacante pueda transferir una gran cantidad de tokens, pudiendo aprovecharse también con el cobro de las altas comisiones enviadas a una dirección manipulada. Esta falla se encontró tras el examen de una transacción inusual del token MESH.
Algunos miembros de la comunidad han llamado a mantener la calma, pues a pesar de que se trata de una falla significativa, no afecta a todos los tokens ERC-20 y ha sido atendida en buena forma por los operadores de las bolsas de intercambio de criptomonedas. Además, de acuerdo con la comunidad de traders llamada Whalepool, el bug no afecta ningún token ERC-20 importante.
Imagen destacada por Tomasz Zajda / stock.adobe.com
