ERC-20のバグにより取引所が対象通貨の取引を一時停止
Yuya
ERC-20スマートコントラクトを搭載した通貨に好きなだけトークンを発行できてしまうバグが存在するものがあることが発覚しました。
4月22日と24日にMediumにて報告された今回のバグを受け、OkEx、Huobi.Pro、Changelly、Quoine、HitBTCなどの取引所はERC-20搭載の通貨の取引を一時停止することを発表しました。
同報告を発表したranimes氏は BeautyChain Tokensの取引量が下記のような取引がされたことを発見しました。
BeautyChain Tokensの異常な値が取引された形跡を発見したことが今回の調査のきっかけとなったといいます。
また、24日の報告では
65,133,050,195,990,400,000,000,000,000,000,000,000,000,000,000,000,000,000,000.891004451135422463 MESH (Smartmesh tokens)、あるいは
5,712,591,867,014,630,000,000,000,000,000,000,000,000,000,000,000,000,000,000.00ドル相当のMESHが取引された形跡がみられたとのことです。
Viacoinという別の通貨では、今回のバグを利用した取引がチャートにも大きく表されています。
「我々の調査によると、このアタッカーを野放しにしてしまうようなバグは今までに報告されていない欠陥性を利用したものとみられます。私たちはこれをバッチーオーバーフローと呼ぶことにします。」
同報告によると、今回のバグは「供給枚数以上の通貨を取引することはできない」というルールを改ざんできてしまうものだということです。
また、今回のバグはERC-20を使用する全ての通貨で通用するものではなく、現在は10以上の通貨がバグの対象として報告されているとのことです。
ramines氏によるMedium上での報告: