La criptobolsa Poloniex suspendió todos los depósitos y retiros de tokens ERC-20 (basados en Ethereum) y HitBTC inició una inspección interna que incluye depósitos y transferencias fuera de línea, siguiendo la decisión de OKEX de detener los depósitos de ERC20 el día de hoy luego del descubrimiento de un potencial nuevo error de contrato llamado batchOverFlow.
We've temporarily suspended ERC-20 token deposits and withdrawals while we review all smart contracts for exposure to the reported batchOverflow bug. We take any reports of vulnerabilities very seriously to ensure that customer funds remain safe. Thank you for your patience!
— Poloniex Exchange (@Poloniex) April 25, 2018
“Hemos suspendido temporalmente depósitos y retiros de tokens ERC-20 mientras revisamos todos los contratos inteligentes por exposición al error reportado de batchOverflow. Tomamos muy en serio los informes de vulnerabilidades para garantizar que los fondos de los clientes permanezcan seguros. ¡Gracias por su paciencia!”
Due to a potential issue detected in ERC20 smart contracts, we initiated an internal inspection. All deposits and transfers on ERC20 tokens will be getting online in accordance with the results of the inspection. Please refer to the System Health page for online status.
— HitBTC (@hitbtc) April 25, 2018
“Debido a un posible problema detectado en los contratos inteligentes ERC20, iniciamos una inspección interna. Todos los depósitos y transferencias en tokens ERC20 se pondrán en línea de acuerdo con los resultados de la inspección. Consulte la página de estado del sistema para conocer el estado en línea.”
Otras criptobolsas que decidieron detener el comercio de tokens ERC-20 debido a la vulnerabilidad recientemente descubierta incluyen Changelly, QUOINE y muchos otros.
El 23 de abril, el usuario de Medium ranimes publicó un blog titulado "Nuevo error batchOverflow en múltiples contratos inteligentes ERC20", que detalla cómo "una vulnerabilidad previamente desconocida en el contrato" podría permitir que "un atacante posea una gran cantidad de tokens explotando" estos contratos vulnerables", lo que permite la manipulación de los precios.
La publicación del blog señala que, debido al principio de "código-es-ley" que se usa en la Blockchain de Ethereum (ETH), "no existe un mecanismo de respuesta de seguridad tradicional bien conocido para remediar estos contratos vulnerables".
El autor del blog escribe que los equipos que trabajan con contrato con esta vulnerabilidad han sido contactados, pero "otras criptobolsas también necesitan ser coordinadas y todavía existen otros tokens comerciables vulnerables a batchOverflow".
El blog menciona que podría surgir otro problema con las bolsas no centralizadas que utilizan servicios de comercio fuera de línea, "ya que ni siquiera pueden detener a los atacantes para que no laven sus tokens".
El usuario medio John Huxtable comentó en la publicación del blog que cree que "vale la pena señalar que batchTransfer no es una función ERC20 estándar, por lo que solo los propietarios del contrato que eligieron implementarla podrían verse afectados".
El problema actual con algunos tokens ERC20 viene justo después de que MyEtherWallet informara ayer que alrededor de $150 millones de ETH fueron robados en un hack de DNS no relacionado.