Secondo una recente ricerca condotta da un team di università australiano-cinesi, il 99% dei token dei token ERC20 creati prima del 2017 hanno vulnerabilità e sono esposti ad un attacco che viene chiamato “Fake Deposit” che li rende poco sicuri, soprattutto lato exchange.
Questo tipo di attacco sfrutta un bug nel saldo dei token e, se non viene messo un controllo su alcune funzioni come “transfer” e “transferFrom”, si rischia che gli ERC20 vadano a finire negli account dei criminali che richiamano queste funzioni.
I numeri del report
Il team ha analizzato oltre 176mila token basati sulla blockchain di Ethereum e di questi ben 7772 token sono stati identificati come passibili di questo problema.
Parliamo del 4,42% dei token che ci sono ancora in circolazione, cifra che può sembrare piccola ma che invece raggruppa anche token molto famosi.
Infatti, tra i token che troviamo in questa lista abbiamo, giusto per citarne i più famosi:
- BRC,
- il token di Huobi (HPT),
- RPL,
- PWR,
- BAT il token del famoso browser Brave.
Questi token, soprattutto se si trovano su exchange, pare siano suscettibili al furto, sfruttando il bug identificato da questa ricerca universitaria.
La quota poteva essere più spaventosa ma grazie all’introduzione della EIP-20 nel 2017, relativa proprio alla gestione dei token, il problema è stato risolto.
Anche gli exchange sono in pericolo
Dal report viene anche detto che solo alcuni dei più famosi token sono stati rivelati ma ce ne sono degli altri, meno importanti, che hanno questo tipo di problema.
Questo bug affligge anche diversi exchange e solo alcuni di essi hanno adottato misure di sicurezza per venirne a capo.
I ricercatori invitano quindi ad aggiornare le piattaforme perché ci potranno essere in futuro ulteriori perdite di questi token, e quindi è lecito aspettarsi almeno altri 7mila attacchi diversi ai danni proprio degli exchange centralizzati, che per loro natura hanno in custodia i token di migliaia di utenti.