Поділитися цією статтею
Крипто призупиняють послуги через помилки контракту
Пара нещодавно опублікованих помилок дозволяє зловмиснику створювати непомірну кількість токенів ERC-20
Автор Nikhilesh De
Було виявлено, що десяток чи більше смарт-контрактів ERC-20 на основі Ethereum містять помилки, які дозволяють зловмисникам створювати скільки завгодно токенів.
Хоча помилки, вперше виявлені 22 квітня <a href="https://peckshield.com/2018/04/22/batchOverflow/">https://peckshield.com/2018/04/22/batchOverflow/</a> і 24 квітня <a href="https://peckshield.com/2018/04/25/proxyOverflow/">https://peckshield.com/2018/04/25/proxyOverflow/</a> відповідно, у парі публікацій, опублікованих компанією з безпеки блокчейну PeckShield, T пов’язані із самим стандартом ERC-20, проблеми викликали кілька бірж призупинили токени ERC-20 у міру проведення розслідування. Ці біржі включали OKEx,Poloniex, Changelly, Quoine і HitBTC.
Продовження Нижче
Не пропустіть жодної історії.Підпишіться на розсилку Crypto Daybook Americas вже сьогодні. Переглянути всі розсилки
окремо оголосив 25 квітня, що призупинив усі монети, але з тих пір обмежив це токенами на основі ERC-20. На момент публікації Poloniex перейшла до відновлення послуг для токенів ERC-20.
В ONE прикладі зловмисник передав колосальні 57,9 * 10^57 токенів BeautyChain, як показано в даних транзакцій на Etherscan – 22 квітня, подія, яка спонукала до початкового розслідування проблеми.
«Наше дослідження показує, що така передача походить від атаки «в дикій природі», яка використовує раніше невідому вразливість у контракті. Для уточнення ми називаємо цю конкретну вразливість batchOverflow», — пояснюється в дописі PeckShield 22 числа. «Ми зазначаємо, що batchOverflow — це, по суті, класична проблема переповнення цілих чисел».
Незліченні монети
У публікації batchOverflow пояснюється, як функція batchTransfer у контракті має максимальну кількість токенів, які можна надіслати в транзакції, додаючи, що вартість токенів, які передаються, має бути меншою за загальну кількість згенерованих токенів. Однак параметром "_value" – ONE із двох, які визначають загальну кількість токенів – можна маніпулювати, що потім змінить іншу змінну, у результаті чого зловмисник зможе створити стільки токенів, скільки забажає.
Крім того, зловмисник може обійти перешкоди в контракті, які зазвичай забезпечують передачу розумної кількості токенів.
"З сума обнулити, зловмисник може пройти перевірку працездатності в рядках 258–259 і зробити віднімання в рядку 261 нерелевантним», — пояснюється в публікації, зазначаючи:
«Нарешті, ось що цікаво: як показано в рядках 262–265, баланс двох одержувачів буде додано надзвичайно великим значенням _value без жодної копійки в кишені зловмисника!»
Хоча початкові звіти вказували на те, що це може вплинути на всі маркери ERC-20, функція «batchTransfer» не є частиною стандарту маркерів.
У дописі Medium не було переліку вразливих проектів, хоча було зазначено, що BeautyChain був першим проектом, який вони виявили. На знак серйозності цієї помилки OKEx сказав 24 квітня, що він скасував угоди на токені BeautyChain.
Приблизно в той час біржа також оголосила, що через помилки призупиняє депозити та зняття коштів у проекті під назвою SmartMesh торгівля через "ненормальну торгову діяльність". ПекШилд зазначив, що це, можливо, сталося через помилка proxyOverflow, яка, як і batchOverflow, є класичною проблемою цілочисельного переповнення. Певними змінними можна маніпулювати, щоб спонтанно генерувати велику кількість токенів.
ONE користувач Twitter зазначив, що зловмисник створив 5 октодецильйонів доларів у токенах SmartMesh.
Someone transferred 65,133,050,195,990,400,000,000,000,000,000,000,000,000,000,000,000,000,000,000.891004451135422463
— CRYPTOLOGIST 🟩🟩🟩🟩 (@kadhirvelavan) April 25, 2018
Smartmesh tokens worth
($5,712,591,867,014,630,000,000,000,000,000,000,000,000,000,000,000,000,000,000.00) to his addresshttps://t.co/w72eALHXhI
Як зазначено в ONE з дописів, існує небезпека того, що хтось може використовувати вразливу Криптовалюта для маніпулювання цінами на свою користь, торгуючи Bitcoin, ефірами або іншою торговою парою.
Представники проектів BeautyChain і SmartMesh не відразу відповіли на запити про коментарі. Проте заява на веб-сайті BeautyChain визнає помилку і стверджує, що торгівля буде відновлена в невизначений момент у майбутньому.
Подібним чином SmartMesh оголосила, що вживатиме заходів для запобігання маніпулюванню цінами, заявивши:
«Фонд SmartMesh візьме кількість SMT, еквівалентну кількості підроблених, і знищить її, щоб компенсувати завдані збитки, і KEEP загальну кількість SMT на рівні 3 141 592 653».
Фабіан Фогельстеллер, розробник, який першим запропонував стандарт ERC-20, сказав CoinDesk, що помилки «просто показують, що нам потрібні кращі передові практики та інструменти для виявлення цих помилок».
Примітка: Цю статтю було оновлено коментарем розробника та поясненням ролі PeckShield у виявленні помилок.
Зображення мармуру через Shutterstock
Більше для вас
Що варто знати:
- As of October 2025, GoPlus has generated $4.7M in total revenue across its product lines. The GoPlus App is the primary revenue driver, contributing $2.5M (approx. 53%), followed by the SafeToken Protocol at $1.7M.
- GoPlus Intelligence's Token Security API averaged 717 million monthly calls year-to-date in 2025 , with a peak of nearly 1 billion calls in February 2025. Total blockchain-level requests, including transaction simulations, averaged an additional 350 million per month.
- Since its January 2025 launch , the $GPS token has registered over $5B in total spot volume and $10B in derivatives volume in 2025. Monthly spot volume peaked in March 2025 at over $1.1B , while derivatives volume peaked the same month at over $4B.
Більше для вас
BlackRock подає заявку на ETF зі стейкованим Ethereum
Фонд iShares Ethereum Staking Trust ознаменовує сміливий крок у напрямку експозиції на дохідність on-chain, оскільки тон Комісії з цінних паперів і бірж (SEC) змінився під новим керівництвом.
Що варто знати:
- BlackRock офіційно подав заявку на створення ETF із ставленим Ethereum, що означає його перший формальний крок до затвердження з боку SEC.
- Подання відображає зміну політики SEC під керівництвом нового голови Пола Аткінса після попереднього відторгнення функцій стейкінгу.
- Існуючий фонд BlackRock з Ethereum утримує $11 млрд в ETH, проте новий ETF пропонуватиме окрему експозицію до стейкінгу.
