イーサリアムを基盤とするERC20トークンに異変が起きている。同ブロックチェーン上のスマートコントラクトに「 batchOverFlow」と呼ばれるバグが見つかったためだ。
これを受け仮想通貨取引所大手ポロニエックスは全てのERC20準拠トークンの入出金を停止。OKEXは同種トークンの入金を停止した上、HitBTCも顧客資金をオフラインに移す措置をとった。
We've temporarily suspended ERC-20 token deposits and withdrawals while we review all smart contracts for exposure to the reported batchOverflow bug. We take any reports of vulnerabilities very seriously to ensure that customer funds remain safe. Thank you for your patience!
— Poloniex Exchange (@Poloniex) April 25, 2018
Due to a potential issue detected in ERC20 smart contracts, we initiated an internal inspection. All deposits and transfers on ERC20 tokens will be getting online in accordance with the results of the inspection. Please refer to the System Health page for online status.
— HitBTC (@hitbtc) April 25, 2018
QUOINEやChangellyもERC20準拠トークンの取引を停止している。
きっかけとなったのは4月23日にMediumで公開された投稿(“New batchOverflow Bug in Multiple ERC20 Smart Contracts”)だ。同投稿は「これまで知られていなかったコントラクト内の脆弱性により、攻撃者が大量のトークンを所有」し価格操作を行うことを可能にするとしている。
さらにイーサリアム・ブロックチェーンにおける「コードこそ法」という原則があるため、「これら脆弱なコントラクトを解決するよく知られたセキュリティメカニズムはない」。
そのため「脆弱性をもつコントラクトに従事するチーム(取引所)に連絡したが、その他の取引所とも連携する必要がある。また、batchOverflowバグに対して脆弱性を有する取引可能なトークンはその他にも存在している」。
また、「中央取引所外のオフラインの取引サービスにも問題が発生する可能性がある。攻撃者がトークンを奪うことを防げないからだ」とも指摘した。
John Huxtableという名のユーザーは同投稿にコメントし、「(問題に関係する)batchTransfer はERC20の標準機能ではなく、これを導入しているコントラクト所有者しか影響をうけないことを指摘する必要がある」とのべている。