Die Kryptobörse Poloniex hat alle ERC20-Token-Ein- und Auszahlungen (die auf Ethereum basieren) eingestellt und HitBTC hat eine interne Inspektion gestartet, die Einzahlungen und Transfers offline nimmt. Das ist eine Reaktion auf die Entscheidung von OKEX von heute Morgen, ERC20-Einzahlungen einzustellen, nachdem ein potenzieller neuer Smart-Contract-Bug namens batchOverFlow entdeckt wurde.
Wir haben die ERC-20-Token-Ein- und Auszahlungen vorübergehend eingestellt, solange wir alle Smart-Contracts untersuchen und sehen, ob sie dem gemeldeten BatchOverflow-Bug ausgesetzt sind. Wir nehmen Berichte über Sicherheitslücken sehr ernst. Damit wollen wir gewährleisten, dass die Kundengelder sicher bleiben. Vielen Dank für Ihre Geduld!
— Poloniex Exchange (@Poloniex) 25. April 2018
Aufgrund eines möglichen Problems bei ERC20-Smart-Contracts haben wir eine interne Inspektion eingeleitet. Alle Einzahlungen und Überweisungen mit ERC20-Token werden online gehen, wenn wir die Ergebnisse der Inspektion vorliegen haben. Auf der Systemzustands-Seite sehen Sie den aktuellen Online-Status.
— HitBTC (@hitbtc) 25. April 2018
Andere Börsen, die den Handel mit ERC-20-Token aufgrund der neu entdeckten Schwachstelle eingestellt haben, sind Changelly, QUOINE und mehrere andere.
Am 23. April veröffentlichten die Nutzer von Medium einen Blog mit dem Titel "Neuer BatchOverflow-Bug in mehreren ERC20-Smart-Contracts". Darin wird detailliert beschrieben, wie "eine zuvor unbekannte Sicherheitslücke im Contract" einem Angreifer ermöglichen könnte, sich "riesige Menge an Token durch die Ausnutzung dieser anfälligen Contracts anzueignen". Damit ist eine Kursmanipulation möglich.
Im Blog-Post wird darauf hingewiesen, dass es aufgrund des "Code-is-Law"-Prinzips, das auf der Ethereum (ETH)-Blockchain verwendet wird, "keine traditionell bekannten Sicherheits-Mechanismen als Reaktion zur Behebung dieser anfälligen Contracts" gebe.
Der Autor des Blogs schreibt, dass Teams kontaktiert wurden, die mit Contracts mit dieser Sicherheitslücke arbeiten. Aber "andere Börsen müssen ebenfalls koordiniert werden und es gibt noch andere handelbare Token, die für BatchOverflow anfällig sind".
Der Blog erwähnt, dass ein weiteres Problem bei nicht-zentralisierten Börsen entstehen könnte, die Offline-Handelsdienste nutzen, "da sie Angreifer nicht einmal davon abhalten können, ihre Token zu waschen".
Der Medium-Nutzer John Huxtable kommentierte auf dem Blogpost, dass er der Meinung sei, es handele sich "bei batchTransfer nicht um eine Standard-ERC20-Funktion, sodass nur die Contract-Besitzer, die sich für die Implementierung entschieden haben, betroffen sein könnten".
Das aktuelle Problem mit einigen ERC20-Token kommt kurz nachdem MyEtherWallet gestern berichtete, dass umgerechnet rund 123 Mio. Euro in ETH in einem nicht damit in Verbindung stehenden DNS-Hack gestohlen wurden.
Melde dich bei unseren Sozialen Medien an, um nichts zu verpassen: X, YouTube, Instagram und Telegram – aktuelle Nachrichten, Analysen, Expertenmeinungen und Interviews mit Fokus auf die DACH-Region.
