ETH: Exchange OKEx suspende depósitos de tokens ERC20 devído a bug crítico nos Smart Contracts do Ethereum

A exchange de criptomoedas OKEx suspendeu os depósitos de todos os tokens ERC20 após a suposta descoberta de um bug grave em pelo menos 12 contratos inteligentes criados para esse padrão de token.

Em um comunicado divulgado na terça-feira, a bolsa de Hong Kong – a terceira maior do mundo, medida pelo volume diário de transações – anunciou a suspensão de depósitos, explicando que os atacantes exploraram um bug recém-descoberto chamado “batchOverflow” para gerar “Uma quantidade extremamente grande de tokens” do nada e, em seguida, depositá-las em um endereço Ethereum normal.

Da declaração:

“Estamos suspendendo os depósitos de todos os tokens ERC-20 devido à descoberta de um novo bug de contrato inteligente – ‘BatchOverFlow’. Ao explorar o bug, os invasores podem gerar uma quantidade extremamente grande de tokens e depositá-los em um endereço normal. Isso torna muitos dos tokens do ERC-20 vulneráveis ​​às manipulações de preços dos invasores.”

“Para proteger o interesse público, decidimos suspender os depósitos de todos os tokens ERC-20 até que o bug seja corrigido. Além disso, contatamos as equipes de token afetadas para realizar investigações e tomar as medidas necessárias para impedir o ataque”, acrescentou a bolsa.

Changelly também suspendeu tokens ERC20

Dear Customers, ERC20 tokens are temporarily unavailable due to an exploit check. We will bring them back, once we are sure there is no vulnerability in deposits received. Follow the updates! https://t.co/qYutri4X3X

— Changelly (@Changelly_team) April 25, 2018

O Changelly, um serviço de criptomoeda que atua como intermediário entre usuários e exchanges, também suspendeu o comércio de tokens ERC20 em resposta ao bug.

Um post do Medium publicado no fim de semana afirma ter descoberto a vulnerabilidade, que o autor diz que afeta “mais de uma dúzia de contratos do ERC20”.

De acordo com a postagem, batchOverflow é um problema de “estouro de inteiro clássico”, que ocorre quando uma operação tenta usar um valor numérico fora do intervalo que a variável é capaz de representar com seu número de bits alocado.

O post inclui uma prova de conceito, que parece mostrar aos pesquisadores gerando uma quantidade quase ilimitada de tokens de um contrato de token ERC20 vulnerável.

Atualmente não está claro quantos e quais tokens específicos são afetados pelo bug, embora pareça que o BeautyChain (BEC) tenha sido o primeiro a ser explorado, e as exchanges começaram a suspender as negociações do BEC em 22 de abril e, em alguns casos, reduziram o BEC.