ERC20トークンの一部のEDCC(スマートコントラクトとも呼ばれる)の最近発見された2つの脆弱性

OKExChangellyPoloniexQUOINE、およびHitBTCはすべて内部調査と<abbr style="box-sizing: border-box; border-bottom: 1px dotted rgb(149, 109, 193); position: relative; cursor: help; text-decoration-line: none !important; text-decoration-style: initial !important;" title="

Ethereumは分散型ブロックチェーンプラットフォームで、 EDCC <span style = "color:rgba(0、0、0、0.8);" では、ソフトウェア開発者がゲーム、金融アプリケーション、ギャンブルアプリケーション、ユーティリティ/物流ソフトウェア、ソーシャルネットワークなどを構築することができます。

” class=”glossarizer_replaced”>Ethereumベースのトークンの預金、引き出し、および/または移転の停止を含むそれぞれの措置を発表しました

重要なことに、ERC20トークン標準自体に脆弱性は検出されておらず、1人のredditユーザーが指摘したように、2つの同様のバグの少なくとも1つはEDCCに追加された機能<abbr style="box-sizing: border-box; position: relative; cursor: auto; border: none !important; text-decoration-line: none !important; text-decoration-style: initial !important; pointer-events: none !important;" title="

実行可能な分散コード契約(しばしば「スマート契約」と呼ばれる)は、スマート契約とも呼ばれる、指定された条件の下で契約条件を実行するコンピュータ化されたトランザクションプロトコルです。 詳細については、<a href = "https://www.ethnews"のリソースセクションをご覧ください。 com / smart-contracts "target =" _ blank "> EDCC をご覧ください。

” class=”glossarizer_replaced”>でした。 

問題のあるソフトウェアのバグは、「命名されbatchOverflow、」4月22日、とに発見された「proxyOverflow、」4月24日に発見され、ミディアムパブリッシングプラットフォーム上の光にしました。

これらの特定の悪用は、潜在的にハッカーが非常に多くのトークンの合計を得ることを可能にするが、設計上明確に斬新ではない。Mediumの著者は、 “batchOverflowは本質的に古典的な整数オーバーフローの問題です”と指摘しました。同じことがproxyOverflowについても言えます。

コンピュータプログラミングに関して、「整数オーバーフロー」は、設計上の欠陥の結果であり、通常、所定のシステムにおける数学的演算が、システムの表現可能な範囲外の値を生成するときに生じる。 

たとえば、batchOverFlowエクスプロイトは、このようにERC20 契約ロジックを騙して発見されました研究者によると、<abbr style="box-sizing: border-box; border-bottom: 1px dotted rgb(149, 109, 193); position: relative; cursor: help; text-decoration-line: none !important; text-decoration-style: initial !important;" title="

トランザクションは、ブロックチェーン上で行われる特定のアクションです。 通貨では、支配的な取引タイプが通貨単位またはトークンを他の人に送信しています。 他のシステムでは、ドメイン名の登録、取引オファーの作成と履行、契約の有効化などのアクションも有効なトランザクションタイプです。

” class=”glossarizer_replaced”>取引を認証するために設計された計画された健全性チェックは、スプーフィングされた金額によってだまされていました。<abbr style="box-sizing: border-box; border-bottom: 1px dotted rgb(149, 109, 193); position: relative; cursor: help; text-decoration-line: none !important; text-decoration-style: initial !important;" title="

トランザクションは、ブロックチェーン上で行われる特定のアクションです。 通貨では、支配的な取引タイプが通貨単位またはトークンを他の人に送信しています。 他のシステムでは、ドメイン名の登録、取引オファーの作成と履行、契約の有効化などのアクションも有効なトランザクションタイプです。

” class=”glossarizer_replaced”>

研究者は、技術的に複雑なアプローチでERC20 <abbr style="box-sizing: border-box; border-bottom: 1px dotted rgb(149, 109, 193); position: relative; cursor: help; text-decoration-line: none !important; text-decoration-style: initial !important;" title="

一般的に言えば、法律で執行されることを意図した雇用、販売、または賃貸に関する書面または口頭の契約です。 Ethereumでは、「契約」はEVMコードを含み、EVMコードによって制御されるアカウントです。 契約は秘密鍵で直接制御することはできません。 EVMコードに組み込まれていない限り、契約には一度リリースされた所有者はいません。

” class=”glossarizer_replaced”>契約利用するのではなく、数学的な創造性と初歩的な契約プログラミングが、15行未満のコードを含むスクリーンショットで説明したこのエクスプロイト<abbr style="box-sizing: border-box; border-bottom: 1px dotted rgb(149, 109, 193); position: relative; cursor: help; text-decoration-line: none !important; text-decoration-style: initial !important;" title="

ネットワーク上の他のノードと通信(「ゴシッピン」)して、ネットワーク上の他のノードの状態を識別するプロセス。

” class=”glossarizer_replaced”>発見においてどのように大きな役割を果たすかを強調します。

ソース

研究者らは、8ビット( “0”を持つ)の “_value”を入力することにより、 “_value”が可能かどうかを検証するための論理チェックを無効にしました。これは、 “cnt”に “_value”を掛けることに基づいています。これは、例の契約コードの257行目に示されている式です。

この式の積は「量」であり、数学的に検証可能でなければなりません。しかし、著者によれば、2段階プロセスは、この位置からbatchOverFlowエクスプロイトを開始することができます。

まず、8つのvigintillion “_value”を持つ2つの “_receivers”を脆弱なbatchTransfer関数に渡し、その量を “オーバーフロー”させてゼロにリセットします(車の走行距離計は999,999マイル後にゼロにリセットされます車が運転されているにもかかわらず、100万人に)。

259行目に記載されているように、額のゼロ調整は、契約の論理チェックが失敗した理由です。さらに、著者は、「金額がゼロになると、攻撃者は258-259行目のサニティチェックをパスし、261行目の減算を無関係にすることができます」と述べました。最後に、262行目から265行目では、現在締結されている契約の下での両方の “_receivers”の<abbr style="box-sizing: border-box; border-bottom: 1px dotted rgb(149, 109, 193); position: relative; cursor: help; text-decoration-line: none !important; text-decoration-style: initial !important;" title="

アカウントに属する暗号違反の量。

” class=”glossarizer_replaced”>バランスが、巨大な “_value”に追加されます。

著者はさらなる懸念を表明した:

「Ethereum <abbr style="box-sizing: border-box; border-bottom: 1px dotted rgb(149, 109, 193); position: relative; cursor: help; text-decoration-line: none !important; text-decoration-style: initial !important;" title="

第三者の改ざんを実質的に排除するすべての取引の公開記録または元帳。 すべての取引所は公開されていますが、交換している人のアイデンティティと、交換されているものは非公開です。 しかし、金額は公開されています。 新しいブロックは、マイニングによってのみ時系列順に追加することができ、固有の価値と情報は損なわれません。 詳細については、<a href = "https://www.ethnews"のリソースセクションをご覧ください。 com / blockchain "target =" _ blank ">ブロックチェーン

” class=”glossarizer_replaced”>ブロックチェーン宣伝されたコードシ<abbr style="box-sizing: border-box; border-bottom: 1px dotted rgb(149, 109, 193); position: relative; cursor: help; text-decoration-line: none !important; text-decoration-style: initial !important;" title="

A public record or ledger of all transactions that virtually eliminates third-party tampering. While every exchange is public, the identities of those exchanging, and what the money is being exchanged for, is kept private. However, the amount of money is public. New blocks can only be added in chronological order by mining, and the inherent value and information cannot be compromised. For more info see our Resources section on Blockchain.

” class=”glossarizer_replaced”>ソールの原則により、これらの脆弱な契約を是正​​するための伝統的なセキュリティレスポンスメカニズムは存在しません!

契約セキュリティはますます特に大いに討論の光の中で、後半のようイーサリアムの取り組みの最前線に押されたDの<abbr style="box-sizing: border-box; position: relative; cursor: auto; border: none !important; text-decoration-line: none !important; text-decoration-style: initial !important; pointer-events: none !important;" title="

Rustプログラミング言語で実装されたEthereumクライアント。

” class=”glossarizer_replaced”>パリティ ハードフォークのPR oposal。

「これらの脆弱性と壊滅的な影響から回復するための適切な方法は、すべての生態系メンバーの調整と支援が必要です」と、著者は書いています。「展開前に賢明な契約を徹底的に監査することの重要性を強調してはいけません。

参考URL:https://www.ethnews.com/contract-exploits-spark-erc20-token-suspensions-across-several-cryptocurrency-exchanges 

●無料でLINE@で有益情報を随時流しています。
https://line.me/R/ti/p/%40gtu0961z 
興味ある方は登録してください。


■yobit net

https://yobit.net/en/

●XRPブログ作者に募金

アドレス:rE86FEdaEXsKJ6GVvNJHwKdAq757nuJdom

●アマゾン商品がビットコインを使って15%off!
●NEMが1時間に1回最大100XEM貰える!


人気ブログランキング


Source: Ripple(リップル)仮想通貨情報局

%d人のブロガーが「いいね」をつけました。