В минувшее воскресенье, 22 апреля, криптовалютная биржа OKex подверглась кибератаке. Такой вывод был сделан исследователями компании Peckshield на основании анализа аномальной активности торгов с участием токенов BEC. Хакерам удалось вывести 8 вигинтиллионов токенов BeautyChain, благодаря обнаруженной уязвимости системы смарт-контрактов batchOverflow. Кроме площадки OKex подобная уязвимость была выявлена специалистами среди более десятка пользовательских контрактов ERC20.      

«Уязвимость (функция) находится в batchTransfer. Локальная переменная ammount вычисляется как сумма cnt и _value. Последний (_value) может быть произвольным 256-битным целым числом, скажем, 0x8000,0000,0000,0000,0000,0000,0000,0000,0000,0000,0000,0000,0000,0000,0000,0000 (число с 63 нулями). Имея двух получателей, переданных в batchTransfer, такое огромное значение может переполнить переменную и приравнять это значение к нулю. А при обнулении суммы хакер может пройти проверки на работоспособность в строках 258-259 и сделать вычитание в строке 261 неактуальным… Далее самое интересное: на баланс двух получателей может быть переведена вся эта огромная сумма, которая беспрепятственно попадет в кошельки мошенников»

Как ранее сообщалось, в голландской компании финтех VI Company аналитиками в смарт-контракте криптобиржи Coinbase была найдена уязвимость, позволявшая пользователям производить манипуляции с балансом с безлимитным зачислением токенов эфира.