Эксперты с компании Peckshield проанализировали непонятную торговую активность с токенами BEC на бирже OKex в воскресенье, и пришли к выводу, что площадка подверглась атаке хакеров. Воспользовавшись уязвимостью в системе смарт-контрактов batchOverflow, они смогли вывести 8 вигинтиллионов токенов BeautyChain. Об этом пишет Peckshield.
BeautyChain ($BEC) Withdrawal and Trading Suspended https://t.co/pgiZ17Yjf7 pic.twitter.com/yxebBCwGyR
— OKEx (@OKEx_) April 22, 2018
Со слов специалиста Peckshield, кроме OKex, под угрозой оказались еще более десяти пользователей смарт-контрактов ERC20 с выявленной уязвимостью batchOverflow.
Уязвимая функция находится в batchTransfer. Локальная переменная ammount вычисляется как сумма cnt и _value. Второй параметр, _value, может быть произвольным 256-битным целым числом, например, 0x8000,0000,0000,0000,0000,0000,0000,0000,0000,0000,0000,0000,0000,0000,0000,0000 (число с 63 нулями). Имея два _receivers, переданных в batchTransfer (), такое огромное значение может переполнить amount и приравнять это значение к нулю. При обнулении суммы хакер может пройти проверки на работоспособность в строках 258-259 и сделать вычитание в строке 261 неактуальным… Далее самое интересное: на баланс двух _receivers может быть переведена вся эта огромная сумма, которая без малейших затрат попадет в карман злоумышленнику!
На официальном сайте криптовалюты собщается, что все операции и переводы временно приостановлены и в ближайшее время код смарт-контрактов будет обновлен. А биржа согласилась произвести «откат», анулировав все операции до состояния 13:18 22 апреля (момент взлома).
До взлома Beauty Chain (BEC) торговался в районе $0,33. После взлома курс остановился на отметке $0,088 в тот момент, когда торги криптовалютой были остановлены.
Подписывайтесь на новости В TELEGRAM