Share this article
Intercambios de Cripto suspenden sus servicios debido a errores en los contratos
Un par de errores publicados recientemente permiten a un atacante crear una cantidad excesiva de tokens ERC-20
By Nikhilesh De
Updated Dec 10, 2022, 1:37 p.m. Published Apr 25, 2018, 3:51 p.m.
Haz que nos prefieran en Google
Se ha descubierto que una docena o más de contratos inteligentes ERC-20 basados en Ethereum contienen errores que permiten a los atacantes crear tantos tokens como quieran.
Si bien los errores —identificados por primera vez el 22 de abril <a href="https://peckshield.com/2018/04/22/batchOverflow/">(https://peckshield.com/2018/04/22/batchOverflow/</a> ) y el 24 de abril <a href="https://peckshield.com/2018/04/25/proxyOverflow/">(https://peckshield.com/2018/04/25/proxyOverflow/)</a> , respectivamente, en dos publicaciones de la firma de seguridad blockchain PeckShield— no están vinculados al estándar ERC-20 en sí, los problemas llevaron a varias plataformas de intercambio a suspender los tokens ERC-20 mientras investigaban. Entre estas plataformas se encontraban OKEx.Poloniex,Changelly,Quoine y HitBTC.
CONTINÚA MÁS ABAJO
Don't miss another story.Subscribe to the Crypto Daybook Americas Newsletter today. See all newsletters
El 25 de abril, Poloniex anunció por separado la suspensión de todas las monedas, pero desde entonces la ha limitado a los tokens basados en ERC-20. Al cierre de esta edición, Poloniex ha procedido a restablecer los servicios para tokens ERC-20.
En un ejemplo, un atacante transfirió la friolera de 57,9 * 10^57 tokens BeautyChain, como lo muestran los datos de la transacción. en Etherscan– el 22 de abril, un acontecimiento que motivó la investigación inicial sobre el asunto.
Nuestro estudio demuestra que dicha transferencia proviene de un ataque in situ que explota una vulnerabilidad previamente desconocida en el contrato. Para mayor claridad, llamamos a esta vulnerabilidad en particular "batchOverflow", explicó la publicación de PeckShield del día 22. "Señalamos que batchOverflow es esencialmente un problema clásico de desbordamiento de enteros".
Innumerables monedas
La publicación de batchOverflow describe cómo la función batchTransfer de un contrato tiene un número máximo de tokens que se pueden enviar en una transacción, y añade que el valor de los tokens transferidos debe ser menor que el número total de tokens generados. Sin embargo, el parámetro "_value" ( ONE de los dos que determinan el número total de tokens) puede manipularse, lo que a su vez modificaría otra variable, lo que permitiría a un atacante crear tantos tokens como desee.
Además, el atacante puede eludir las barreras del contrato que normalmente garantizarían que se transfiera una cantidad razonable de tokens.
"Con cantidad"Si se pone a cero, un atacante puede pasar las comprobaciones de cordura en las líneas 258-259 y hacer que la resta en la línea 261 sea irrelevante", explicó la publicación, señalando:
Finalmente, llega la parte interesante: como se muestra en las líneas 262-265, el saldo de los dos receptores se incrementaría con el altísimo valor _ sin que el atacante pierda un centavo.
Si bien los informes iniciales indicaron que todos los tokens ERC-20 podrían verse afectados, la función "batchTransfer" no es parte del estándar del token.
La publicación de Medium no enumeró los proyectos vulnerables, aunque sí indicó que BeautyChain fue el primer proyecto que descubrieron. Como muestra de la gravedad de este error, OKEx...dichoel 24 de abril que estaba revirtiendo las transacciones en el token BeautyChain.
El intercambio también anunció en ese momento que, a la luz de los errores, suspendería los depósitos y retiros de un proyecto llamadoMalla inteligentecomercio debido a "actividades comerciales anormales". PeckShield señaló que esto posiblemente se debió a laError de desbordamiento de proxy, que, al igual que el desbordamiento por lotes, es un problema clásico de desbordamiento de enteros. Ciertas variables pueden manipularse para generar espontáneamente grandes cantidades de tokens.
Un usuario de Twitter señaló que un atacante creó 5 octodecillones de dólares en tokens SmartMesh.
Someone transferred 65,133,050,195,990,400,000,000,000,000,000,000,000,000,000,000,000,000,000,000.891004451135422463
— CRYPTOLOGIST 🟩🟩🟩🟩 (@kadhirvelavan) April 25, 2018
Smartmesh tokens worth
($5,712,591,867,014,630,000,000,000,000,000,000,000,000,000,000,000,000,000,000.00) to his addresshttps://t.co/w72eALHXhI
Como se señaló en una de las publicaciones, existe el peligro de que alguien pueda usar una Criptomonedas vulnerable para manipular los precios a su favor comerciando con Bitcoin, ether u otro par comercial.
Los representantes de los proyectos BeautyChain y SmartMesh no respondieron de inmediato a las solicitudes de comentarios. Sin embargo, un comunicado en el sitio web de BeautyChain...reconoce el errory afirma que las transacciones comerciales se reanudarán en un momento indeterminado en el futuro.
De manera similar, SmartMesh anunció que tomaría medidas para evitar la manipulación de precios, diciendo:
La Fundación SmartMesh tomará la cantidad de SMT equivalente a la falsificada y la destruirá para compensar las pérdidas causadas, y KEEP con el suministro total de SMT por un valor de 3.141.592.653.
Fabian Vogelsteller, el desarrollador que propuso por primera vez el estándar ERC-20, dijo a CoinDesk que los errores "simplemente muestran que necesitamos mejores prácticas y herramientas para detectar esos errores".
Nota:Este artículo se ha actualizado con un comentario del desarrollador y para aclarar el papel de PeckShield en el descubrimiento de los errores.
Imagen de canicasvía Shutterstock
More For You
KuCoin captured a record share of centralised exchange volume in 2025, with more than $1.25tn traded as its volumes grew faster than the wider crypto market.
What to know:
- KuCoin recorded over $1.25 trillion in total trading volume in 2025, equivalent to an average of roughly $114 billion per month, marking its strongest year on record.
- This performance translated into an all-time high share of centralised exchange volume, as KuCoin’s activity expanded faster than aggregate CEX volumes, which slowed during periods of lower market volatility.
- Spot and derivatives volumes were evenly split, each exceeding $500 billion for the year, signalling broad-based usage rather than reliance on a single product line.
- Altcoins accounted for the majority of trading activity, reinforcing KuCoin’s role as a primary liquidity venue beyond BTC and ETH at a time when majors saw more muted turnover.
- Even as overall crypto volumes softened mid-year, KuCoin maintained elevated baseline activity, indicating structurally higher user engagement rather than short-lived volume spikes.
More For You
El oro supera los $5,000 mientras el bitcoin se estanca cerca de $87,000 en una creciente divergencia macro-cripto: Asia Morning Briefing
Los datos onchain de Bitcoin señalan un exceso de oferta y una participación débil, mientras que el rompimiento al alza del oro es valorado por los mercados como un cambio macroeconómico duradero.
What to know:
- El aumento del oro por encima de los $5,000 la onza se percibe cada vez más como un cambio de régimen duradero, con los inversores tratando el metal como una cobertura persistente contra el riesgo geopolítico, la demanda de los bancos centrales y un dólar más débil.
- Bitcoin se mantiene cerca de los $87,000 en un mercado de baja convicción, mientras que los datos on-chain muestran que los poseedores antiguos venden durante los repuntes, los compradores más recientes absorben pérdidas y un exceso de oferta limita los movimientos hacia los $100,000.
- Los mercados de derivados y de predicción señalan una consolidación continua en bitcoin y una fortaleza sostenida en el oro, con volúmenes bajos en futuros, apalancamiento reducido y una demanda débil para activos cripto de mayor beta como ether, lo que refuerza el tono cauteloso.
Historias Destacadas
