banner
DeFi: trovata una vulnerabilità su Tron?
DeFi: trovata una vulnerabilità su Tron?
Sicurezza

DeFi: trovata una vulnerabilità su Tron?

By Alfredo de Candia - 10 Set 2020

Chevron down

Il team di ElephantsLab avrebbe trovato una vulnerabilità in alcuni smart contract di progetti DeFi sulla blockchain di Tron.

Al giorno d’oggi è impossibile non parlare della finanza decentralizzata (DeFi), sia in maniera positiva, menzionando la nascita di diversi progetti su diverse blockchain, sia in negativo visto che ogni giorno si trovano nuove vulnerabilità, come quello che ha coinvolto l’exchange Gate.io e SushiSwap.

Ovviamente parliamo di nuovi progetti e di un nuovo settore, quindi è anche molto rischioso investirci perché, se non sono stati fatti i dovuti audit agli smart contract, nei protocolli si possono nascondere delle backdoor che possono far perdere i soldi degli utenti, come era successo con il caso di Chick Finance.

La vulnerabilità di Tron: un bug negli smart contract della DeFi

Ad ogni modo, il team di ElephantsLab ha analizzato una serie di smart contract DeFi ed ha individuato una falla, o meglio una pratica di progettazione degli smart contract, che permette di rubare tutti i fondi di coloro che interagiscono con esso.

Il team ha spiegato che in questo tipo di protocolli, in cui si richiede all’utente di depositare e mettere in stake un ammontare di token per poi riceverne degli altri, esistono due parametri fondamentali:

  • Address_spender, che è l’indirizzo in cui si trovano i token creati dal progetto;
  • Uint256_value, che il contratto che può disporre dei token.

Da una ricerca approfondita, fatta sulla blockchain di Tron, si è visto che alcuni smart contract sono stati scritti male.

Questo bug permette di fatto di prelevare l’intera somma dei token dall’indirizzo dell’utente, quindi anche se si mette un certo valore alla fine possono essere presi tutti.

Per controllare la falla bisogna prima fare un controllo in merito al valore che restituisce, che deve essere pari a 0. Se invece restituisce il valore -1 allora i token sarebbero in pericolo e i wallet potrebbero essere prosciugati.

Come se non bastasse, gli smart contract coinvolti in questa vulnerabilità, cosa che è possibile verificare anche sulla blockchain di Ethereum, sono quelli più usati nel settore DeFi.

Si tratterebbe infatti di vulnerabilità trovate negli smart contract di Tether (USDT), della stablecoin di Tron USDJ e in quello del token di governance Just (JST).

Per quanto riguarda Tether, però, il CTO Paolo Ardoino ha smentito che si tratti di un vero bug:

“Non è un bug. Quando è stato rilasciato Tether su Tron non era compatibile al 100% con le caratteristiche ERC20. Non è un bug, ma stiamo lavorando per creare un wrapper per uniformare lo standard con ERC20”.

Alfredo de Candia
Alfredo de Candia

Android developer da oltre 8 anni sul playstore di Google con una decina di app, Alfredo a 21 anni ha scalato il Monte Fuji seguendo il detto "Chi scala il monte Fuji una volta nella vita è un uomo saggio, chi lo scala due volte è un pazzo". Tra le sue app troviamo un dizionario di giapponese, un database di spam e virus, il più completo database sui compleanni di serie Anime e Manga e un database sulle shitcoin. Miner della domenica, Alfredo ha una forte passione per le crypto ed è un fan di EOS.

Utilizziamo i cookie per essere sicuri che tu possa avere la migliore esperienza sul nostro sito. Se continui ad utilizzare questo sito noi assumiamo che tu ne sia felice.