Ethereum-Token im Wert von 1 Mrd. USD, die für einen „gefälschten Einzahlungsangriff“ anfällig sind

Free Bitcoins: FreeBitcoin | BonusBitcoin

Coins Kaufen: Bitcoin.deAnycoinDirektCoinbaseCoinMama (mit Kreditkarte)Paxfull

Handelsplätze / Börsen: Bitcoin.de | KuCoinBinanceBitMexBitpandaeToro

Lending / Zinsen erhalten: Celsius NetworkCoinlend (Bot)

Cloud Mining: HashflareGenesis MiningIQ Mining


Bei Token im Wert von über 1 Milliarde US-Dollar in der Ethereum-Blockchain fehlt ein 2017 veröffentlichter Softwarestandard, der laut neuen Untersuchungen für die Entführung und Entleerung von Handelsbörsen eingerichtet wurde.

Die Software-Schwachstelle, die als gefälschter Einzahlungs-Exploit bezeichnet wird, wurde laut Untersuchungen der Peking-Universität, der Peking-Universität für Post und Telekommunikation, der Zhejiang-Universität und der Universität von Queensland bei 7.772 Emittenten von ERC-20-Token festgestellt.

Die Studie besagt, dass ein Hacker durch Manipulation von Code in den intelligenten Verträgen oder Programmierskripten von ERC-20-Token, die an Kryptowährungsbörsen mit mangelhaften Transaktionsüberprüfungsmethoden aufgeführt sind, exorbitante Geldbeträge nahezu kostenlos betrügerisch abschöpfen kann. Der gefälschte Einzahlungsangriff könnte dann die Börse zum Absturz bringen und dazu führen, dass Inhaber der ERC-20-Token und anderer Kryptowährungen ihr Geld verlieren.

Weiterlesen: Wie funktionieren intelligente Verträge von Ethereum?

Einige Inhaber könnten auch Probleme haben, auf mit den ERC-20-Token gekaufte Versorgungsunternehmen zuzugreifen, die zunehmend an Güter und Notwendigkeiten wie Energie, Immobilien und Versicherungen gebunden sind.

"Wenn der Angriff auf gefälschte Einlagen durchgeführt wird, ist dies mit Sicherheit eine große Katastrophe für den Token", sagte einer der Forscher, Haoyu Wang, Associate Professor für Informatik an der Universität für Post und Telekommunikation in Peking. "Im schlimmsten Fall muss der Token erneut ausgestellt werden."

Mögliche Korrekturen

Da intelligente Verträge in der Ethereum-Blockchain dauerhaft sind und nicht rückgängig gemacht werden können, liegt die Verantwortung beim Austausch von Kryptowährungen, um ERC-20-Token-Verfahren zu beheben, die bereits für den Angriff auf gefälschte Einzahlungen anfällig sind. Fabian Vogelsteller, der Entwickler von Ethereum, der ERC-20-Münzen erstellt hat, sagte, dass Kryptowährungsbörsen böswillige Token-Verträge auf die schwarze Liste setzen können.

Lesen Sie mehr: Token-Verkäufe sind zurück im Jahr 2020

Lei Wu, Associate Professor für Cyberwissenschaften an der Zhejiang-Universität, ein zweites Mitglied des Forschungsteams, schlug ebenfalls vor, sogenannte Proxy-Smart-Verträge freizugeben, um die Möglichkeit offen zu halten, alte Ethereum-Smart-Verträge zu ersetzen. Einige Ethereum-Entwickler haben es jedoch vermieden, Proxy-Smart-Verträge zu schreiben, da sie ihre eigenen Sicherheitsrisiken tragen.

Für ERC-20-Token in Arbeit empfiehlt die Ethereum Foundation den Entwicklern der Ethereum-Blockchain, den Schutzstandard für intelligente Vertragssoftware als ausfallsicher gegen unaufmerksamen Austausch von Kryptowährungen zu implementieren, so Wang und Wu.

So funktioniert es: Transaktionsduping

Ein ERC-20-Smart-Vertrag ohne den 2017 eingeführten Ethereum-Blockchain-Softwarestandard EIP-20 basiert auf dem, was in der Informatik als bedingte Programmieranweisung bekannt ist, um auf unzureichende Token-Salden zu prüfen. Die bedingte Anweisung gibt eine Anweisung "return false" aus, die verhindert, dass eine Token-Transaktion beendet wird. Diese "return false" -Anweisung wird zur Grundlage für den gefälschten Einzahlungsangriff auf Kryptowährungsbörsen, die nach dem Aufruf der Programmierfunktionen "transfer" und "transferFrom" keine Sicherheitsüberprüfungen durchführen.

Der Angriff funktioniert zunächst, indem ein ERC-20-Smart-Vertrag an einen Kryptowährungsaustausch ausgestellt und ein ERC-20-Token auf ein Austauschkonto übertragen wird. Bei einem dezentralen Austausch kann die Programmierfunktion "DepositToken" die Funktion "transferFrom" anweisen, so viele Token wie möglich auf das Konto des Angreifers einzuzahlen. Bei einer zentralen Vermittlungsstelle wird stattdessen die Funktion "Übertragen" aufgerufen, wobei die Felder "_to" und "_value" des Smart Contract auf die Kontoadresse des Angreifers und den gewünschten Tokenbetrag festgelegt werden.

Welche ERC-20-Token sind gefährdet?

Die anfälligen Token mit den meisten Handelsvolumina an dezentralen Börsen, CloudBric, MovieCredits, BullandBear, LOVE und EtherDOGE, hatten laut Untersuchungen nur geringe oder gar keine Aktivitäten. Diese ERC-20-Token werden an drei dezentralen Börsen, IDEX, DDEX und Ether Delta, verteilt, die laut den Forschern der Studie die Sicherheitsanfälligkeit in diesem Monat behoben haben.

Lesen Sie mehr: Das Volumen der dezentralen Börsen stieg im Juli um 174%, überstieg 4,3 Mrd. USD und stellte den zweiten Rekord auf

Im Gegensatz dazu sind 7.716 der ERC-20-Token, die für den Angriff auf gefälschte Einzahlungen anfällig sind – 99,2% der identifizierten – an zentralen Börsen wie Binance, Coinbase, OkEx und Kraken gelistet. Betroffene Token an zentralisierten Börsen, an denen der Großteil der standardmäßig fehlenden ERC-20-Token gehandelt wird, wurden im April mit mehr als 1,1 Milliarden US-Dollar bewertet.

Das BRC-Token von Baer Chain, das Basic Attention Token (BAT) des Brave Privacy Webbrowsers, das HPT-Token der chinesischen Kryptowährungsbörse Huobi, das RPL-Token des Rocket Pool Ethereum-App-Dienstes und das PWR-Token der Power Ledger-Stromnetzblockkette hatten die höchsten registrierten Marktkapitalisierungen der gefährdete Token, die an zentralen Börsen gehalten werden. Ungefähr 391.000 USD in 87.000 BRC, 388.000 USD in 305.000 BVT, 63.000 USD in 1.000 HRT, 39.000 USD in 3.000 RPL und 28.000 USD in 50.000 PWR waren betroffen.

Begrenzte Identifikation

Auf Nachfrage lehnten die Informatiker es ab, die betroffenen Ethereum-Münzen neben denen mit den fünf größten Bänden an dezentralen Börsen und den fünf größten Marktkapitalisierungen an zentralen Börsen zu identifizieren. Die Forscher stellten auch nicht fest, welche zentralen Börsen keine empfohlenen Sicherheitsverfahren für Ethereum-Token durchgeführt haben.

"Für die von uns identifizierten Sicherheitslücken und Angriffe wurden einige bestätigt", sagte Wang. Weder die Forscher noch PeckShield, ein Blockchain-Sicherheitsunternehmen, das mit dem Forschungsteam zusammengearbeitet hat, entscheiden sich dafür, andere gefährdete Token als die 10 bekannten öffentlich zu identifizieren, sagte Wang.

Yan Zhu, Chief Information Security Officer von Brave Software, sagte, dass die Sicherheitsanfälligkeit nicht mit der Brave-Browser-Brieftasche zusammenhängt und dass die betroffenen Basic Attention Tokens ohne Proxy-Smart-Verträge bereitgestellt wurden, bevor der Ethereum-Blockchain-Standard EIP-20 2017 geändert wurde, um die Software zu integrieren Implementierung, die den Angriff auf gefälschte Einzahlungen verhindert.

Lesen Sie mehr: Gemini Crypto Exchange lässt sich in den datenschutzorientierten Brave Browser integrieren

Power Ledger hingegen stellte die betroffenen ERC-20-Token bereit, selbst nachdem die Ethereum Foundation die aktualisierte EIP-20-Softwareimplementierung veröffentlicht hatte. Derzeit rät John Bulich, technischer Direktor von Power Ledger, Power Ledger-Kunden, „ihre eigenen Krypto-Assets in ihren eigenen sicheren Geldbörsen zu verwahren“ und „zentralisierten Börsen nicht mehr als ihren aktuellen Handelsbestand anzuvertrauen“.

Die fünf bekannten Aussteller der an zentralisierten Börsen betroffenen Token antworteten nicht auf Fragen, ob sie bei Kryptowährungsbörsen nach der Sicherheitsanfälligkeit gesucht haben.

Huobi, Baer Chain und Rocket Pool antworteten nicht auf Anfragen nach Kommentaren.

Offenlegung

CoinDesk ist führend in Blockchain-Nachrichten und ein Medienunternehmen, das nach höchsten journalistischen Standards strebt und strenge redaktionelle Richtlinien einhält. CoinDesk ist eine unabhängige operative Tochtergesellschaft der Digital Currency Group, die in Kryptowährungen und Blockchain-Startups investiert.

Free Bitcoins: FreeBitcoin | BonusBitcoin

Coins Kaufen: Bitcoin.deAnycoinDirektCoinbaseCoinMama (mit Kreditkarte)Paxfull

Handelsplätze / Börsen: Bitcoin.de | KuCoinBinanceBitMexBitpandaeToro

Lending / Zinsen erhalten: Celsius NetworkCoinlend (Bot)

Cloud Mining: HashflareGenesis MiningIQ Mining

By continuing to use the site, you agree to the use of cookies. more information

The cookie settings on this website are set to "allow cookies" to give you the best browsing experience possible. If you continue to use this website without changing your cookie settings or you click "Accept" below then you are consenting to this.

Close