Хакеры взломали биржу OKex с помощью смарт-контрактов

Обменник OKEx приостановил вывод токенов BEC и торговлю из-за хакерской атаки, которая обогатила злоумышленников на 8 vigintillion единиц криптовалюты BeautyChain.

Обменник OKEx приостановил вывод токенов BEC и торговлю из-за хакерской атаки, которая обогатила злоумышленников на 8 vigintillion единиц криптовалюты BeautyChain.

22 апреля 2018 года около 13:00 (по гонконгскому времени) криптобиржа OKEx обнаружила аномальную активность, связанную с токеном BeautyChain (BEC). В связи с этим платформа вынуждена была приостановить процесс торговли токенов BEC.

Как выяснилось позже хакеры взломали площадку и вывели 8 vigintillion единиц BEC. Чтобы написать это число, к восьмерке нужно добавить 63 нуля.

По словам экспертов компании PeckShield, которые разбирались в уязвимости и последствиях этого взлома, кто-то перечислил очень большое количество токенов BEC - 8 vigintillion. PeckShield объясняет, что такая ненормальная активность BEC исходит от атаки batchOverflow, которая использует ранее неизвестную уязвимость в смарт-контракте.

PeckShield разработали автоматизированную систему для сканирования и анализа переводов токенов на основе Ethereum (ERC-20). В частности, система автоматически отправляет предупреждение при подозрительных транзакциях (например, с участием необосновано большого количества токенов).

Именно эта система, 22.04.2018, подняла тревогу, из-за транзакций токена BEC. В этой конкретной сделке было перечислено аномальное количество токена BEC. Фактически, были проведены две передачи токенов, причем каждая передача включала в себя одинаковый объем из одного и того же контракта BeautyChain, но на два разных адреса.

Уязвимая функция находится в batchTransfer, где и вычисляется локальная переменная суммы транзакции, а ошибка BatchOverflow содержится в функции batchTransfer. Еще более десятка смарт-контрактов, используемых в работе ERC20-сервисов скрывают в себе эту же ошибку.

Официальный сайт сообщает: «По просьбе официальной команды проекта BeautyChain (BEC), мы теперь приостановили услугу вывода BEC и торговые пары BEC / USDT, BEC / BTC и BEC / ETH. Мы сообщим вам о ситуации после получения уведомления от команды. Приносим извинения за причиненные неудобства». Компания планирует обновить код смарт-контрактов и произвести откат данных всех трех торговых пар BEC (BEC / BTC, BEC / ETH и BEC / USDT) до 13:18:00, 22 апреля 2018 года (время в Гонконге).

Специалисты опасаются что ситуация может повториться на других криптоплатформах, торгующих активами с аналогичным смарт-контрактом. Кроме того, с распространенным принципом «код-это закон» в блокчейне Ethereum, нет отлаженного механизма защиты безопасности для устранения этих уязвимых контрактов.