Токены стандарта ERC-20 в сети Ethereum стоимостью более $1 млрд подвержены хакерской атаке поддельного депозита. Об этом говорится в совместном исследовании четырех институтов из Китая и Австралии.
Уязвимость позволяет злоумышленникам обманным путем выводить существенные суммы с торговых площадок практически без затрат. Атака поддельного депозита может привести к сбою в работе торговых площадок. Для эмитентов токенов риск еще выше: в худшем случае им придется повторно выпускать токены.
Из-за неизменяемости смарт-контрактов решений всего два: централизованные биржи могут добавлять вредоносные контракты в черный список или же разработчики могут создавать запасные контракты для замены уязвимых, хотя это сопряжено с отдельными рисками.
В целом 7772 токена стандарта ERC-20 подвержены уязвимости. Из них 99,2% торгуется на централизованных биржах, включая Binance, Coinbase, Kraken и OKEx. Эти токены не поддерживают стандарт EIP-20, релиз которого состоялся в 2017 году.
Среди уязвимых токенов с листингом на централизованных площадках исследователи назвали Basic Attention Token (BAT), Huobi Pool Token (HPT), Baer Chain (BTC), Power Ledger (PWR) и Rocket Pool (RPL). Из тех, что торгуются на DEX, раскрыли CloudBric, MovieCredits, BullandBear, LOVE и EtherDOGE. Хотя активность по последним близка к нулю.
Назвать все токены авторы отчета отказались. Их совокупная стоимость, по состоянию на апрель 2020 года, составляла $1,1 млрд.