BatchOverflow Bug: Mehrere Börsen stellen ERC20-Token-Handel ein

Die Kryptobörse Poloniex hat alle ERC20-Token-Ein- und Auszahlungen (die auf Ethereum basieren) eingestellt und HitBTC hat eine interne Inspektion gestartet, die Einzahlungen und Transfers offline nimmt. Das ist eine Reaktion auf die Entscheidung von OKEX von heute Morgen, ERC20-Einzahlungen einzustellen, nachdem ein potenzieller neuer Smart-Contract-Bug namens batchOverFlow entdeckt wurde.

Andere Börsen, die den Handel mit ERC-20-Token aufgrund der neu entdeckten Schwachstelle eingestellt haben, sind Changelly, QUOINE und mehrere andere.

Am 23. April veröffentlichten die Nutzer von Medium einen Blog mit dem Titel "Neuer BatchOverflow-Bug in mehreren ERC20-Smart-Contracts". Darin wird detailliert beschrieben, wie "eine zuvor unbekannte Sicherheitslücke im Contract" einem Angreifer ermöglichen könnte, sich "riesige Menge an Token durch die Ausnutzung dieser anfälligen Contracts anzueignen". Damit ist eine Kursmanipulation möglich.

Im Blog-Post wird darauf hingewiesen, dass es aufgrund des "Code-is-Law"-Prinzips, das auf der Ethereum (ETH)-Blockchain verwendet wird, "keine traditionell bekannten Sicherheits-Mechanismen als Reaktion zur Behebung dieser anfälligen Contracts" gebe.

Der Autor des Blogs schreibt, dass Teams kontaktiert wurden, die mit Contracts mit dieser Sicherheitslücke arbeiten. Aber "andere Börsen müssen ebenfalls koordiniert werden und es gibt noch andere handelbare Token, die für BatchOverflow anfällig sind".

Der Blog erwähnt, dass ein weiteres Problem bei nicht-zentralisierten Börsen entstehen könnte, die Offline-Handelsdienste nutzen, "da sie Angreifer nicht einmal davon abhalten können, ihre Token zu waschen".

Der Medium-Nutzer John Huxtable kommentierte auf dem Blogpost, dass er der Meinung sei, es handele sich "bei batchTransfer nicht um eine Standard-ERC20-Funktion, sodass nur die Contract-Besitzer, die sich für die Implementierung entschieden haben, betroffen sein könnten".

Das aktuelle Problem mit einigen ERC20-Token kommt kurz nachdem MyEtherWallet gestern berichtete, dass umgerechnet rund 123 Mio. Euro in ETH in einem nicht damit in Verbindung stehenden DNS-Hack gestohlen wurden.

  • Folgen Sie uns auf: