Suspenden depósitos de tokens ERC20 tras error crítico

Suspenden depósitos de tokens ERC20 tras error crítico

26 abril, 2018 0 Por Alter Consciens

La tercera casa de cambio de criptomonedas más grande del mundo, OKEx, ha tomado la decisión de suspender todos los depósitos de los tokens ERC20. Esta resolución se ha ejecutado tras descubrir un supuesto error en al menos 12 contratos inteligentes construidos bajo este estándar.

Error en tokens ERC20

En un comunicado publicado el martes, el intercambio con sede en Hong Kong anunció la suspensión de los depósitos hasta que se resuelva el error. La casa de cambio explica que los atacantes han explotado un error del contrato inteligente recientemente descubierto, llamado «batchOverflow». Éste permitía generar «una cantidad extremadamente grande de tokens» de la nada y luego depositarlos en una dirección normal de Ethereum.

Según se extrae de la declaración:

«Estamos suspendiendo los depósitos de todos los tokens ERC-20 debido al descubrimiento de un nuevo error en el contrato inteligente: ‘BatchOverFlow’. Al explotar el error, los atacantes pueden generar una cantidad extremadamente grande de tokens y depositarlos en una dirección normal. Esto hace que muchas de las fichas ERC-20 sean vulnerables a las manipulaciones de precios de los atacantes».

«Para proteger el interés público, hemos decidido suspender los depósitos de todos los tokens ERC-20 hasta que se solucione el error. Además, nos hemos puesto en contacto con los equipos de los tokens afectados para realizar una investigación y tomar las medidas necesarias con el fin de evitar el ataque», agregó la casa de cambio.

Changelly, un servicio de comercio de criptomonedas que actúa como intermediario entre los usuarios y las bolsas, también ha suspendido la negociación de tokens ERC20 en respuesta a la vulnerabilidad.

Una vulnerabilidad crítica

Un artículo publicado durante el fin de semana afirma haber descubierto la vulnerabilidad, que según el autor afecta a «más de una docena de contratos ERC20».

De acuerdo con la publicación, batchOverflow es un problema de «desbordamiento de entero clásico». Este fallo ocurre cuando una operación intenta usar un valor numérico fuera del rango que la variable puede representar con su número asignado de bits.

La publicación incluye una prueba de concepto. Ésta parece mostrar a los investigadores que generan una cantidad casi ilimitada de tokens de un contrato de token ERC20 vulnerable.

Poloniex, Huobi, Coinone y HitBTC han sido otras de las casas de cambio que han suspendido sus operaciones con este tipo de token, muy utilizado en las Ofertas Iniciales de Moneda (ICO).

Actualmente no está claro cuántos y qué tokens específicos se ven afectados por el error. Sin embargo, parece que BeautyChain (BEC) fue uno de los primeros en ser explotados. Por ello, las casas de cambio comenzaron a suspender las operaciones de BEC el 22 de abril.