Poloniex, OKEx и ряд других криптобирж возобновляют вывод токенов ERC20 после обнаружения бага BatchOverFlow

Poloniex и HitBTC уже успели вернуться к нормальной работе после внутренних инспекций. 

Криптовалютная торговая площадка Poloniex приостановила прием депозитных средств в виде токенов ERC20, основанных на Ethereum-платформе, и их дальнейший вывод из биржи.

We've temporarily suspended ERC-20 token deposits and withdrawals while we review all smart contracts for exposure to the reported batchOverflow bug. We take any reports of vulnerabilities very seriously to ensure that customer funds remain safe. Thank you for your patience!

— Poloniex Exchange (@Poloniex) April 25, 2018

Через несколько часов после того, как команда торговой площадка исследовала источник возникшей ошибки, что было сделано в целях безопасности, прежде всего, операции с токенами стандарта ERC20 были возобновлены.

Deposits and withdrawals for ERC-20 tokens have now been re-enabled.

— Poloniex Exchange (@Poloniex) April 25, 2018

Тем временем, HitBTC инициировала внутреннюю инспекцию. О статусе изученной проблемы команда известила криптосообщество на своей официальной Twitter-страничке.

Dear traders, the ERC20 deposits are back online. The transfers are still disabled for an inspection. The transfers will be getting online in accordance with the results of the inspection. Please refer to the System Health page (https://t.co/1i1pSWhw7I) for status.

— HitBTC (@hitbtc) April 25, 2018

Poloniex и HitBTC решили убедиться в безопасности токенов Ethereum-платформы после того, как стало известно о решении OKEx приостановить прием депозитных средств в виде токенов ERC20 из-за уязвимости в смарт-контрактах. Обнаруженный баг известен теперь под названием BatchOverFlow. Последовали примеру Poloniex и OKEX и другие биржи, среди которых Changelly, QUOINE. Причиной приостановки приемы или выведения токенов Ethereum-платформы является та же ошибка.

ERC-20 Tokens Deposit Suspendedhttps://t.co/hOyozp6RKz pic.twitter.com/Z919pfGh5J

— OKEx (@OKEx) April 25, 2018

Как сообщает издание Cointelegraph, пользователь ranimes еще 23 апреля разместил пост в блоге Medium под названием New batchOverflow Bug in Multiple ERC20 Smart Contracts, где подробно описал, как существующая на сегодняшний день уязвимость в смарт-контрактах ERC20 Smart позволяет злоумышленникам генерировать большие объемы токенов и переводить их на обычные адреса с целью манипуляции ценами. Согласно сообщению пользователя, существующий кодекс правил, которые используется в цепочке блоков Ethereum (ETH), не обеспечивает нужный уровень безопасности, чтобы устранить обнаруженные уязвимости в смарт-контрактах. Пользователь ranimes настаивает на том, что потребуется скоординированная работа криптобирж с целью устранения проблемы. Баг BatchOverFlow был обнаружен благодаря автоматической системе сканирования трансфера токенов ERC20, разработанной проектом Coinmonks. Ошибку удалось обнаружить в результате анализа необычной для блокчейна транзакции токенов BeautyChain (BEC).

Пользователь John Huxtable, вступивший в дискуссию, отметил, что, по его мнению, batchTransfer не является стандартной функцией ERC20, поэтому лишь владельцы смарт-контрактов, решившие внедрить ее, могут быть затронуты.

Криптобиржи активизировались после того, как стало известно о хищении ETH на сумму $150 млн из кошельков MyEtherWallet во время DNS-атаки, никак не связанной с обнаруженным багом BatchOverFlow.

5/5 To keep up this fight against this criminal phishing attack, we need our amazing community to support and educate each other – this is an ongoing battle that requires us all to stick together.

— MyEtherWallet | MEW (@myetherwallet) April 24, 2018