Az ERC-20 tervezési hiányosságai aranybányának bizonyultak a kriptocsalók számára
Az Ethereum alapját képező ERC-20 tokenszabvány kritikus biztonsági réseket tartalmaz, amelyek kihasználásával a csalók könnyen zsákmányra tehetnek szert. Ezek a hiányosságok jelentősen hozzájárulnak a kriptoiparban elkövetett lopások magas számához, amelyek közül sok az ERC-20 tokenekre irányul.
A 2015-ben bevezetett ERC-20 tokenek számos biztonsági problémát rejtenek magukban, amelyek javítása a közeljövőben nem várható. Ez a helyzet különösen aggasztó, tekintettel arra, hogy a Scam Sniffer adatai szerint a márciusban eltűnt kriptovaluták 89,5%-a, összesen 71,5 millió dollár értékben, éppen az ERC-20 tokenekhez kapcsolódik.
A problémák forrása az ERC-20 és Ethereum tervezésekor meghozott korai döntésekben keresendő, amint azt Mikko Ohtamaa, a Trading Strategy társalapítója is megerősíti. Bár más blokkláncokon, mint például a MultiversX, Radix, vagy a Cosmos-alapú rendszereken ezek a problémák már megoldásra leltek, az Ethereum esetében az okosszerződések megváltoztathatatlan természete nehezíti a helyzetet.
Az Uniswap „Permit2” okosszerződése, amely a tokenek tömeges jóváhagyását teszi lehetővé, új támadási felületet nyitott a csalók számára. Roman Rakhlin biztonsági kutató rávilágított, hogy a phishing támadások során a csalók hogyan szerezhetnek jogosultságokat, és hogyan lophatnak tokeneket a gyanútlan áldozatoktól.
Kapcsolódó: Több mint 2 millió dollárnyi Ethereumot nyúltak le egy kifinomult rendszerrel
Az „approve” mechanizmus, amely a tokenek más szereplők általi mozgatásának engedélyezését teszi lehetővé, a DeFi világ felemelkedésének egyik katalizátoraként szolgál, ugyanakkor biztonsági kockázatokat is hordoz. Például, ha Alíz 1000 tokenjéből 500-al szeretne egy decentralizált kriptovaluta-tőzsdén (DEX) kereskedni, az „approve” funkcióval engedélyezi a DEX számára a tokenek mozgatását. Ha Alíz meggondolja magát, és több tokennel szeretne kereskedni, előfordulhat, hogy egy rosszindulatú szereplő kihasználja az engedélyezési folyamat rövid idejét, több tokent mozgatva, mint amennyit Alíz szándékozott.
Az „increaseAllowance” és „decreaseAllowance” funkciók bevezetése próbálta kezelni az „approve” támadások kockázatát, lehetővé téve a token tulajdonosok számára, hogy módosítsák az engedélyezett token mennyiségét anélkül, hogy azt teljesen nullára állítanák. Ezek a funkciók azonban további problémákat is okozhatnak a végfelhasználók számára.
Az ERC-20 tokenekkel kapcsolatos csalások megelőzése nem egyszerű feladat, főleg az okosszerződések megváltoztathatatlan természete és a tokenek folyamatosan növekvő mennyisége miatt. A valódi megoldások várhatóan a biztonsági eszközök fejlődéséből erednek majd, amelyek figyelmeztetik a felhasználókat az ismert támadási vektorokra.
Ebben a helyzetben kulcsfontosságú, hogy a digitális valuták felhasználói fokozott figyelemmel és körültekintéssel kezeljenek minden digitális aláírást és tranzakciós jóváhagyást, így védelmezve digitális eszközeiket a lehetséges csalásoktól.