Share this article

Gli exchange Cripto sospendono i servizi a causa di bug contrattuali

Una coppia di bug pubblicati di recente consente a un aggressore di creare un numero eccessivo di token ERC-20

Updated Dec 10, 2022, 1:37 p.m. Published Apr 25, 2018, 3:51 p.m.

Si è scoperto che almeno una dozzina di contratti intelligenti ERC-20 basati su Ethereum contengono bug che consentono agli aggressori di creare tutti i token che desiderano.

Sebbene i bug, identificati per la prima volta il 22 aprile <a href="https://peckshield.com/2018/04/22/batchOverflow/">https://peckshield.com/2018/04/22/batchOverflow/</a> e il 24 aprile <a href="https://peckshield.com/2018/04/25/proxyOverflow/">https://peckshield.com/2018/04/25/proxyOverflow/</a> , rispettivamente, in una coppia di post pubblicati dalla società di sicurezza blockchain PeckShield, T siano legati allo standard ERC-20 in sé, i problemi hanno spinto diversi exchange a sospendere i token ERC-20 durante le indagini. Tra questi exchange figurano OKEx,Poloniex,Cambiato,Quoina E ColpisciBTC.

La storia continua sotto

Don't miss another story.Subscribe to the Crypto Daybook Americas Newsletter today. See all newsletters

By signing up, you will receive emails about CoinDesk products and you agree to our terms & conditions and privacy policy.

Huobi.Pro

ha annunciato separatamente il 25 aprile di aver sospeso tutte le monete, ma da allora ha limitato tale sospensione ai token basati su ERC-20. Al momento della stampa, Poloniex si è mossa per ripristinare i servizi per i token ERC-20.

In ONE esempio, un aggressore ha trasferito ben 57,9 * 10^57 token BeautyChain, come mostrato dai dati delle transazioni su Etherscan– il 22 aprile, uno sviluppo che ha spinto l’indagine iniziale sulla questione.

"Il nostro studio dimostra che tale trasferimento deriva da un attacco 'in-the-wild' che sfrutta una vulnerabilità precedentemente sconosciuta nel contratto. Per essere più precisi, chiamiamo questa particolare vulnerabilità batchOverflow", ha spiegato il post di PeckShield del 22. "Sottolineiamo che batchOverflow è essenzialmente un classico problema di integer overflow".

Innumerevoli monete

Il post batchOverflow descrive come la funzione batchTransfer in un contratto abbia un numero massimo di token che possono essere inviati in una transazione, aggiungendo che il valore dei token trasferiti deve essere inferiore al numero totale di token generati. Tuttavia, il parametro "_value", ONE dei due che determinano il numero totale di token, può essere manipolato, il che modificherebbe un'altra variabile, consentendo a un aggressore di creare tutti i token che desidera.

Inoltre, l'attaccante può aggirare le barriere del contratto che normalmente garantirebbero il trasferimento di un numero ragionevole di token.

"Con quantitàazzerato, un aggressore può quindi superare i controlli di integrità nelle righe 258-259 e rendere irrilevante la sottrazione nella riga 261", ha spiegato il post, notando:

"Infine, ecco la parte interessante: come mostrato nelle righe 262–265, il saldo dei due ricevitori verrebbe aggiunto dal valore estremamente grande _value senza costare un centesimo nelle tasche dell'attaccante!"

Sebbene i primi resoconti indicassero che tutti i token ERC-20 potrebbero essere interessati, la funzione "batchTransfer" non fa parte dello standard dei token.

Il post di Medium non elencava i progetti vulnerabili, anche se notava che BeautyChain era il primo progetto che avevano scoperto. A dimostrazione della gravità di quel bug, OKExdisseil 24 aprile ha annunciato che avrebbe annullato le negoziazioni sul BeautyChain Token.

In quel periodo, lo scambio annunciò anche che, alla luce dei bug, avrebbe sospeso depositi e prelievi, un progetto chiamatoMaglia intelligentetrading a causa di "attività di trading anomale". PeckShield ha osservato che ciò era probabilmente dovuto albug proxyOverflow, che, come batchOverflow, è un classico problema di overflow di interi. Alcune variabili possono essere manipolate per generare spontaneamente grandi quantità di token.

ONE utente di Twitter ha segnalato che un aggressore ha creato 5 ottdecilioni di dollari in token SmartMesh.

Someone transferred 65,133,050,195,990,400,000,000,000,000,000,000,000,000,000,000,000,000,000,000.891004451135422463

Smartmesh tokens worth
($5,712,591,867,014,630,000,000,000,000,000,000,000,000,000,000,000,000,000,000.00) to his addresshttps://t.co/w72eALHXhI
— CRYPTOLOGIST 🟩🟩🟩🟩 (@kadhirvelavan) April 25, 2018

Come sottolineato in ONE dei post, esiste il rischio che qualcuno possa utilizzare una Criptovaluta vulnerabile per manipolare i prezzi a proprio favore, effettuando operazioni di trading con Bitcoin, ether o un'altra coppia di valute.

I rappresentanti dei progetti BeautyChain e SmartMesh non hanno risposto immediatamente alle richieste di commento. Tuttavia, una dichiarazione sul sito web di BeautyChainriconosce il buge afferma che le negoziazioni riprenderanno in un momento non determinato nel futuro.

Allo stesso modo, SmartMesh ha annunciato che avrebbe preso misure per impedire la manipolazione dei prezzi, affermando:

"La Fondazione SmartMesh preleverà la quantità di SMT equivalente a quella contraffatta e la distruggerà per compensare le perdite causate e KEEP la fornitura totale di SMT al valore di 3.141.592.653."

Fabian Vogelsteller, lo sviluppatore che per primo ha proposto lo standard ERC-20, ha dichiarato a CoinDesk che i bug "dimostrano semplicemente che abbiamo bisogno di migliori best practice e strumenti per rilevare tali errori".

Nota:Questo articolo è stato aggiornato con un commento dello sviluppatore e per chiarire il ruolo di PeckShield nella scoperta dei bug.

Immagine di marmitramite Shutterstock

Exchanges Ethereum News Poloniex News ERC20 OKEx batchOverflow Changelly HitBTC BeautyChain proxyOverflow

Más para ti

KuCoin Hits Record Market Share as 2025 Volumes Outpace Crypto Market

Por CoinDesk Research

22 dic 2025

Commissioned byKuCoin

KuCoin captured a record share of centralised exchange volume in 2025, with more than $1.25tn traded as its volumes grew faster than the wider crypto market.

Lo que debes saber:

KuCoin recorded over $1.25 trillion in total trading volume in 2025, equivalent to an average of roughly $114 billion per month, marking its strongest year on record.
This performance translated into an all-time high share of centralised exchange volume, as KuCoin’s activity expanded faster than aggregate CEX volumes, which slowed during periods of lower market volatility.
Spot and derivatives volumes were evenly split, each exceeding $500 billion for the year, signalling broad-based usage rather than reliance on a single product line.
Altcoins accounted for the majority of trading activity, reinforcing KuCoin’s role as a primary liquidity venue beyond BTC and ETH at a time when majors saw more muted turnover.
Even as overall crypto volumes softened mid-year, KuCoin maintained elevated baseline activity, indicating structurally higher user engagement rather than short-lived volume spikes.

View Full Report

Más para ti

Silver nears $1 billion in volume on Hyperliquid as bitcoin remains frozen: Asia Morning Briefing

Por Sam Reynolds

hace 1 hora

Silver perps have more volume on Hyperliquid than SOL or XRP.

Lo que debes saber:

Silver futures on the Hyperliquid crypto derivatives exchange have surged to become one of its most active markets, ranking just behind bitcoin and ether in trading volume.
The SILVER-USDC contract’s high volume, sizable open interest and slightly negative funding suggest traders are using crypto infrastructure for volatility and hedging in macro commodities rather than for directional crypto bets.
Bitcoin is holding near $88,000 in a "defensive equilibrium" with cooling ETF inflows, uneven derivatives positioning and rising demand for downside protection, while ether lags and capital rotates toward hard assets like gold and silver.

Leer la noticia completa

Ultime Notizie Cripto

Bitcoin (BTC) price on Jan. 26 (CoinDesk)

Bitcoin rimane vicino a 88.000$ mentre i rally da record di oro e argento mostrano segni di esaurimento

hace 7 horas

Le preoccupazioni macroeconomiche oscurano lo slancio di Ethereum, afferma il CEO di SharpLink

hace 8 horas

Deus X CEO Tim Grant: Non stiamo sostituendo la finanza; la stiamo integrando

hace 9 horas

Milioni di ricchezza in criptovalute a rischio di sparizione quando i detentori muoiono. Ecco come proteggerli

hace 9 horas

(Photo by Kevin Horvat on Unsplash/Modified by CoinDesk)

Gli U.S. Marshals indagano sulle accuse che il figlio di un appaltatore governativo abbia sottratto 40 milioni di dollari in criptovalute sequestrate

hace 10 horas

Russia stablecoin milestone. (Photo by Artem Beliaikin on Unsplash/Modified by CoinDesk)

La piattaforma di scambio crypto WhiteBIT segnalata dalla Russia come 'indesiderata' per il supporto all'esercito ucraino

hace 10 horas

Storie Da Non Perdere

La commissione Agricoltura del Senato posticipa a giovedì l'audizione sulla struttura del mercato a causa della tempesta invernale

hace 12 horas

Money (Unsplash/Alexander Grey/Modified by CoinDesk)

Zerohash è in trattative per raccogliere 250 milioni di dollari a una valutazione di 1,5 miliardi di dollari dopo aver rinunciato all'acquisizione da parte di Mastercard

hace 14 horas

BitMine, la più grande società di tesoreria Ethereum, effettua il più grande acquisto di ether del 2026

hace 13 horas

Ecco i vincitori e i perdenti (finora) nel mining di bitcoin dall'investimento di 2 miliardi di dollari di Nvidia in CoreWeave

hace 12 horas

Executive Chairman of Strategy Michael Saylor

Strategy ha acquistato bitcoin per 264 milioni di dollari la scorsa settimana, un rallentamento rispetto al ritmo di acquisizione recente

hace 14 horas

Corner of a plaque showing a map of the Bank of Japan.

Bitcoin segue l’oro mentre le preoccupazioni sull’intervento dello yen pesano sugli asset rischiosi

hace 15 horas