بورصات العملات الرقمية “بولونيكس” و”هيت بي تي سي” وغيرها توقف تداول ERC بعد تقارير عن وجود خطأ عقد إيثريوم الذكي
قامت بورصة العملات الرقمية “بولونيكس” بتعليق جميع عمليات سحب وإيداع توكنات ERC-20 (التي تستند إلى إيثريوم)، كما بدأت “هيت بي تي سي” عملية تفتيش داخلية تقوم بإغلاق جميع عمليات الإيداع والتحويل، وذلك في أعقاب قرار “أوكي إكس” بوقف عمليات إيداع توكنات ERC20 في وقتٍ سابق اليوم بعد اكتشاف خطأ جديد محتمل في العقود الجديدة يُسمى batchOverFlow.
We’ve temporarily suspended ERC-20 token deposits and withdrawals while we review all smart contracts for exposure to the reported batchOverflow bug. We take any reports of vulnerabilities very seriously to ensure that customer funds remain safe. Thank you for your patience!
— Poloniex Exchange (@Poloniex) April 25, 2018
https://platform.twitter.com/widgets.js
Due to a potential issue detected in ERC20 smart contracts, we initiated an internal inspection. All deposits and transfers on ERC20 tokens will be getting online in accordance with the results of the inspection. Please refer to the System Health page for online status.
— HitBTC (@hitbtc) April 25, 2018
https://platform.twitter.com/widgets.js
ومن بين البورصات الأخرى التي اختارت وقف تداول توكنات ERC-20 بسبب الثغرة الذي تم اكتشافها حديثًا، كانت “تشينجلي” و”كيوين” إلى جانب آخرين.
ففي الثالث والعشرين من أبريل، نشر مستخدم “ميديام” ranimes مشاركة مدونة بعنوان “خطأ batchOverflow جديد في العديد من عقود ERC20 الذكية”، والتي توضح بالتفصيل كيف أن “نقطة ضعف مسبقة غير معروفة في العقد” سمحت “للمهاجمين بامتلاك كمية هائلة من التوكنات عن طريق استغلال هذه العقود الضعيفة”، وبالتالي السماح للتلاعب في الأسعار.
وتشير مشاركة المدونة إلى أنه نظرًا لمبدأ “الكود هو القانون” الذي يتم استخدامه في بلوكتشين إيثريوم، “لا توجد آلية استجابة أمنية تقليدية معروفة لمعالجة هذه العقود الضعيفة”.
ويكتب مؤلف المدونة أنه تم الاتصال بالفرق التي تعمل بالعقود المتضررة، ولكن “هناك حاجة أيضًا إلى التنسيق بين البورصات الأخرى، ولا تزال هناك توكنات أخرى قابلة للتداول عرضة لخطأ batchOverflow.”
كذلك تذكر المدونة أن هناك مشكلة أخرى يمكن أن تنشأ مع البورصات غير المركزية التي تستخدم خدمات التداول دون الاتصال بالإنترنت، “لأنها لا تستطيع حتى منع المهاجمين من غسل أموالهم.”
وقد علّق مستخدم “ميديام” John Huxtable على مشاركة المدونة أنه يعتقد أنه “تجدر الإشارة إلى أن batchTransfer ليس وظيفة قياسية في ERC20 لذا يمكن فقط لأصحاب العقود الذين اختاروا تنفيذها القيام بذلك”.
وتأتي المشكلة الحالية مع بعض توكنات ERC20 بعد أن أبلغت ماي إيثر واليت أمس عن سرقة حوالي ١٥٠ مليون دولار من إيثريوم في اختراق “دي إن إس” غير ذي صلة.
Source link
