O cripto câmbio Poloniex suspendeu todos os depósitos e retiradas de tokens ERC-20 (baseados em Ethereum), e a HitBTC iniciou uma inspeção interna que leva depósitos e transferências offline, seguindo a decisão da OKEX de suspender os depósitos de ERC20 mais cedo, após a descoberta de um potencial novo bug de contrato chamado batchOverFlow.
We've temporarily suspended ERC-20 token deposits and withdrawals while we review all smart contracts for exposure to the reported batchOverflow bug. We take any reports of vulnerabilities very seriously to ensure that customer funds remain safe. Thank you for your patience!
— Poloniex Exchange (@Poloniex) April 25, 2018
Suspendemos temporariamente depósitos e retiradas de tokens ERC-20 enquanto revisamos todos os contratos inteligentes para exposição ao bug batchOverflow informado. Levamos muito a sério os relatórios de vulnerabilidades para garantir que os fundos dos clientes permaneçam seguros. Obrigado pela sua paciência!
Due to a potential issue detected in ERC20 smart contracts, we initiated an internal inspection. All deposits and transfers on ERC20 tokens will be getting online in accordance with the results of the inspection. Please refer to the System Health page for online status.
— HitBTC (@hitbtc) April 25, 2018
Devido a um possível problema detectado nos contratos inteligentes do ERC20, iniciamos uma inspeção interna. Todos os depósitos e transferências em tokens ERC20 estarão online de acordo com os resultados da inspeção. Por favor, consulte a página System Health para o status online.
Outras trocas que optaram por interromper o comércio de tokens ERC-20 por causa da vulnerabilidade descoberta recentemente incluem Changelly, QUOINE e várias outras.
Em 23 de abril, os ranks médios de usuários postaram um blog intitulado “Novo bug batchOverflow em vários contratos inteligentes ERC20”, detalhando como “uma vulnerabilidade desconhecida no contrato” que poderia permitir que “um invasor possuísse uma enorme quantidade de tokens explorando esses contratos vulneráveis”, permitindo assim a manipulação de preços.
O post do blog observa que, devido ao princípio do “código-é-lei” que é usado no Blockchain da Ethereum (ETH), “não existe um mecanismo de resposta de segurança tradicional bem conhecido para remediar esses contratos vulneráveis”.
O autor do blog escreve que as equipes que trabalham com contrato com esta vulnerabilidade foram contatadas, mas “outras bolsas também precisam ser coordenadas e ainda existem outros tokens negociáveis vulneráveis ao batchOverflow.”
O blog menciona que outro problema poderia surgir com bolsas não centralizadas que usam serviços de negociação off-line, “já que eles não podem impedir que invasores lavem seus tokens”.
O usuário médio John Huxtable comentou na postagem do blog que acha que “é importante notar que batchTransfer não é uma função padrão do ERC20, portanto somente os proprietários do contrato que escolheram implementá-lo poderiam ser afetados”.
O problema atual com alguns tokens ERC20 vem logo após o MyEtherWallet ter informado ontem que cerca de US$150 milhões de ETH foram roubados em uma invasão de DNS não relacionada.