L'exchange di criptovalute Poloniex ha sospeso sia i depositi che i prelievi di tutti i token ERC20, mentre la piattaforma HitBTC ha avviato un'espezione interna, disattivando ogni genere di transazione. Anche OKEX ha deciso di sospendere i depositi di ERC20 in seguito alla scoperta di batchOverFlow, una falla nella sicurezza presente all'interno dei contratti intelligenti di Ethereum.
We've temporarily suspended ERC-20 token deposits and withdrawals while we review all smart contracts for exposure to the reported batchOverflow bug. We take any reports of vulnerabilities very seriously to ensure that customer funds remain safe. Thank you for your patience!
— Poloniex Exchange (@Poloniex) April 25, 2018
Due to a potential issue detected in ERC20 smart contracts, we initiated an internal inspection. All deposits and transfers on ERC20 tokens will be getting online in accordance with the results of the inspection. Please refer to the System Health page for online status.
— HitBTC (@hitbtc) April 25, 2018
Anche altri exchange, come Changelly e QUOINE, hanno deciso di interrompere lo scambio di token ERC20 fino alla risoluzione della presunta vulnerabilità.
In data 23 aprile, un utente su Medium ha pubblicato un articolo intitolato "Nuovo bug batchOverflow in numerosi contratti intelligenti ERC20", nel quale veniva descritta "una vulnerabilità nei contratti prima sconosciuta" che permette "agli aggressori di entrare in possesso di enormi quantità di token sfruttando falle nella sicurezza".
L'articolo spiega che, a causa del principo "code-is-law" utilizzato sulla Blockchain di Ethereum (ETH), "non è presente alcun meccanismo tradizionale di sicurezza per risolvere tali vulnerabilità".
L'autore afferma inoltre che i team di sviluppo a lavoro sui contratti vulnerabili sono già stati contattati, ma che "anche gli exchange dovrebbero coordinarsi, in quanto potrebbero esistere altri token vulnerabili a batchOverflow".
L'utente di Medium John Huxtable ha poi commentato l'articolo, spiegando che "batchTransfer non è una funzione predefinita di ERC20, pertanto il problema colpisce solo coloro che hanno deciso di implementarla nei propri contratti".
Ma i problemi legati ad Ethereum non finiscono qui: giusto ieri la piattaforma MyEtherWallet ha rivelato il furto di circa 150 milioni di dollari in ETH a causa di un hack DNS.