Mercati
Share this article

Gli exchange Cripto sospendono i servizi a causa di bug contrattuali

Una coppia di bug pubblicati di recente consente a un aggressore di creare un numero eccessivo di token ERC-20

By Nikhilesh De
Updated Dec 10, 2022, 1:37 p.m. Published Apr 25, 2018, 3:51 p.m.
marbles2

Si è scoperto che almeno una dozzina di contratti intelligenti ERC-20 basati su Ethereum contengono bug che consentono agli aggressori di creare tutti i token che desiderano.

Sebbene i bug, identificati per la prima volta il 22 aprile <a href="https://peckshield.com/2018/04/22/batchOverflow/">https://peckshield.com/2018/04/22/batchOverflow/</a> e il 24 aprile <a href="https://peckshield.com/2018/04/25/proxyOverflow/">https://peckshield.com/2018/04/25/proxyOverflow/</a> , rispettivamente, in una coppia di post pubblicati dalla società di sicurezza blockchain PeckShield, T siano legati allo standard ERC-20 in sé, i problemi hanno spinto diversi exchange a sospendere i token ERC-20 durante le indagini. Tra questi exchange figurano OKEx,Poloniex,Cambiato,Quoina E ColpisciBTC.

La storia continua sotto
Don't miss another story.Subscribe to the Crypto Daybook Americas Newsletter today. See all newsletters
By signing up, you will receive emails about CoinDesk products and you agree to our terms of use and privacy policy.

Huobi.Pro

ha annunciato separatamente il 25 aprile di aver sospeso tutte le monete, ma da allora ha limitato tale sospensione ai token basati su ERC-20. Al momento della stampa, Poloniex si è mossa per ripristinare i servizi per i token ERC-20.

In ONE esempio, un aggressore ha trasferito ben 57,9 * 10^57 token BeautyChain, come mostrato dai dati delle transazioni su Etherscan– il 22 aprile, uno sviluppo che ha spinto l’indagine iniziale sulla questione.

"Il nostro studio dimostra che tale trasferimento deriva da un attacco 'in-the-wild' che sfrutta una vulnerabilità precedentemente sconosciuta nel contratto. Per essere più precisi, chiamiamo questa particolare vulnerabilità batchOverflow", ha spiegato il post di PeckShield del 22. "Sottolineiamo che batchOverflow è essenzialmente un classico problema di integer overflow".

Innumerevoli monete

Il post batchOverflow descrive come la funzione batchTransfer in un contratto abbia un numero massimo di token che possono essere inviati in una transazione, aggiungendo che il valore dei token trasferiti deve essere inferiore al numero totale di token generati. Tuttavia, il parametro "_value", ONE dei due che determinano il numero totale di token, può essere manipolato, il che modificherebbe un'altra variabile, consentendo a un aggressore di creare tutti i token che desidera.

Inoltre, l'attaccante può aggirare le barriere del contratto che normalmente garantirebbero il trasferimento di un numero ragionevole di token.

"Con quantitàazzerato, un aggressore può quindi superare i controlli di integrità nelle righe 258-259 e rendere irrilevante la sottrazione nella riga 261", ha spiegato il post, notando:

"Infine, ecco la parte interessante: come mostrato nelle righe 262–265, il saldo dei due ricevitori verrebbe aggiunto dal valore estremamente grande _value senza costare un centesimo nelle tasche dell'attaccante!"

Sebbene i primi resoconti indicassero che tutti i token ERC-20 potrebbero essere interessati, la funzione "batchTransfer" non fa parte dello standard dei token.

Il post di Medium non elencava i progetti vulnerabili, anche se notava che BeautyChain era il primo progetto che avevano scoperto. A dimostrazione della gravità di quel bug, OKExdisseil 24 aprile ha annunciato che avrebbe annullato le negoziazioni sul BeautyChain Token.

In quel periodo, lo scambio annunciò anche che, alla luce dei bug, avrebbe sospeso depositi e prelievi, un progetto chiamatoMaglia intelligentetrading a causa di "attività di trading anomale". PeckShield ha osservato che ciò era probabilmente dovuto albug proxyOverflow, che, come batchOverflow, è un classico problema di overflow di interi. Alcune variabili possono essere manipolate per generare spontaneamente grandi quantità di token.

ONE utente di Twitter ha segnalato che un aggressore ha creato 5 ottdecilioni di dollari in token SmartMesh.

Come sottolineato in ONE dei post, esiste il rischio che qualcuno possa utilizzare una Criptovaluta vulnerabile per manipolare i prezzi a proprio favore, effettuando operazioni di trading con Bitcoin, ether o un'altra coppia di valute.

I rappresentanti dei progetti BeautyChain e SmartMesh non hanno risposto immediatamente alle richieste di commento. Tuttavia, una dichiarazione sul sito web di BeautyChainriconosce il buge afferma che le negoziazioni riprenderanno in un momento non determinato nel futuro.

Allo stesso modo, SmartMesh ha annunciato che avrebbe preso misure per impedire la manipolazione dei prezzi, affermando:

"La Fondazione SmartMesh preleverà la quantità di SMT equivalente a quella contraffatta e la distruggerà per compensare le perdite causate e KEEP la fornitura totale di SMT al valore di 3.141.592.653."

Fabian Vogelsteller, lo sviluppatore che per primo ha proposto lo standard ERC-20, ha dichiarato a CoinDesk che i bug "dimostrano semplicemente che abbiamo bisogno di migliori best practice e strumenti per rilevare tali errori".

Nota:Questo articolo è stato aggiornato con un commento dello sviluppatore e per chiarire il ruolo di PeckShield nella scoperta dei bug.

Immagine di marmitramite Shutterstock

ExchangesEthereum NewsPoloniexNewsERC20OKExbatchOverflowChangellyHitBTCBeautyChainproxyOverflow

Di più per voi

Protocol Research: GoPlus Security

Di CoinDesk Research
14 nov 2025
Commissioned byGoPlus
GP Basic Image

Cosa sapere:

  • As of October 2025, GoPlus has generated $4.7M in total revenue across its product lines. The GoPlus App is the primary revenue driver, contributing $2.5M (approx. 53%), followed by the SafeToken Protocol at $1.7M.
  • GoPlus Intelligence's Token Security API averaged 717 million monthly calls year-to-date in 2025 , with a peak of nearly 1 billion calls in February 2025. Total blockchain-level requests, including transaction simulations, averaged an additional 350 million per month.
  • Since its January 2025 launch , the $GPS token has registered over $5B in total spot volume and $10B in derivatives volume in 2025. Monthly spot volume peaked in March 2025 at over $1.1B , while derivatives volume peaked the same month at over $4B.
View Full Report

Di più per voi

Gemini approvato dalla CFTC per offrire mercati previsionali negli Stati Uniti, azioni in rialzo di quasi il 14%

Di Siamak Masnavi, AI Boost|Editor Omkar Godbole
16 minuti fa
Gemini co-founders Cameron and Tyler Winklevoss at White House (Jesse Hamilton/CoinDesk)

Gemini ha dichiarato che la sua affiliata Gemini Titan ha ottenuto l'approvazione della CFTC per operare come Designated Contract Market, consentendo alla società di offrire mercati di previsione regolamentati negli Stati Uniti.

Cosa sapere:

  • Gemini ha dichiarato che la sua affiliata, Gemini Titan, ha ottenuto l'approvazione dalla CFTC per operare come Designated Contract Market.
  • La società ha dichiarato che la licenza le consente di offrire mercati predittivi regolamentati ai clienti statunitensi.
  • I gemelli Winklevoss hanno elogiato la decisione, ritenendola in linea con la spinta del Presidente Trump per la leadership degli Stati Uniti nel settore delle criptovalute.
Leggi tutta la storia