Múltiplos câmbios suspendem o comércio de tokens do ERC20 devido ao erro potencial BatchOverflow

 O cripto câmbio Poloniex suspendeu todos os depósitos e retiradas de tokens ERC-20 (baseados em Ethereum), e a HitBTC iniciou uma inspeção interna que leva depósitos e transferências offline, seguindo a decisão da OKEX de suspender os depósitos de ERC20 mais cedo, após a descoberta de um potencial novo bug de contrato chamado batchOverFlow.

Suspendemos temporariamente depósitos e retiradas de tokens ERC-20 enquanto revisamos todos os contratos inteligentes para exposição ao bug batchOverflow informado. Levamos muito a sério os relatórios de vulnerabilidades para garantir que os fundos dos clientes permaneçam seguros. Obrigado pela sua paciência!

Devido a um possível problema detectado nos contratos inteligentes do ERC20, iniciamos uma inspeção interna. Todos os depósitos e transferências em tokens ERC20 estarão online de acordo com os resultados da inspeção. Por favor, consulte a página System Health para o status online.

Outras trocas que optaram por interromper o comércio de tokens ERC-20 por causa da vulnerabilidade descoberta recentemente incluem Changelly, QUOINE e várias outras.

Em 23 de abril, os ranks médios de usuários postaram um blog intitulado “Novo bug batchOverflow em vários contratos inteligentes ERC20”, detalhando como “uma vulnerabilidade desconhecida no contrato” que poderia permitir que “um invasor possuísse uma enorme quantidade de tokens explorando esses contratos vulneráveis”, permitindo assim a manipulação de preços.

O post do blog observa que, devido ao princípio do “código-é-lei” que é usado no Blockchain da Ethereum (ETH), “não existe um mecanismo de resposta de segurança tradicional bem conhecido para remediar esses contratos vulneráveis”.

O autor do blog escreve que as equipes que trabalham com contrato com esta vulnerabilidade foram contatadas, mas “outras bolsas também precisam ser coordenadas e ainda existem outros tokens negociáveis ​​vulneráveis ​​ao batchOverflow.”

O blog menciona que outro problema poderia surgir com bolsas não centralizadas que usam serviços de negociação off-line, “já que eles não podem impedir que invasores lavem seus tokens”.

O usuário médio John Huxtable comentou na postagem do blog que acha que “é importante notar que batchTransfer não é uma função padrão do ERC20, portanto somente os proprietários do contrato que escolheram implementá-lo poderiam ser afetados”.

O problema atual com alguns tokens ERC20 vem logo após o MyEtherWallet ter informado ontem que cerca de US$150 milhões de ETH foram roubados em uma invasão de DNS não relacionada.