研究人员说，数千个ERC-20令牌，总价值超过10亿美元，实施了有缺陷的智能合约，而一些交易所不正确地验证了令牌交易

根据一项新的研究，以太区块链上价值超过10亿美元的令牌缺少2017年发布的软件标准，这使得它们可能被劫持并从交易交易所中流失。

根据北京大学、北京邮电大学、浙江大学和昆士兰大学的研究，这个软件漏洞被称为虚假存款漏洞，在7772家ERC-20代币发行商中被发现。

这项研究指出，通过操纵在加密货币交易所上市的ERC-20令牌的智能合约或编程脚本中的代码，交易验证方法存在缺陷，黑客可以欺诈性地抽走过高金额的资金，而几乎不需要付出任何成本。然后，虚假存款攻击可能会使交易所崩溃，导致ERC-20代币和其他加密货币的持有者损失资金。

一些持有者在使用ERC-20代币购买的公用事业设施时也可能会遇到困难，这些代币越来越多地与能源、房地产和保险等商品和必需品捆绑在一起。

其中一名研究人员，北京邮电大学计算机科学副教授王浩宇(音译)表示：“如果假存款攻击被实施，对代币来说肯定是一场巨大的灾难。”“最坏的情况是，令牌必须重新发行。”

由于智能合约在以太区块链上是永久性的，不能逆转，因此修复已经容易受到虚假存款攻击的ERC-20令牌程序的责任落在了加密货币交易所身上。创造ERC-20硬币的以太开发者Fabian Vogelsteller说，加密货币交易所可能会将恶意令牌合同列入黑名单。

浙江大学网络科学副教授、研究团队的第二名成员吴磊也建议发布所谓的代理智能合约，以保留更换旧的以太智能合约的选择。然而，一些以太开发者避免了编写代理智能合同，因为它们本身就存在安全风险。

王和吴说，对于正在开发的ERC-20令牌，以太基金会建议以太区块链开发者实施保护性智能合约软件标准，以防止粗心大意的加密货币交易。

2017年推出的不含以太区块链软件标准EIP-20的ERC-20智能合约，依赖于计算机科学中所知的条件编程语句来检查令牌余额是否不足。条件语句输出“return false”语句，该语句阻止令牌事务终止。在调用编程函数“Transfer”和“Transfer From”之后，这个“return false”语句成为对不执行安全检查的加密货币交易所进行假存款攻击的基础。

攻击首先通过向加密货币交易所发布ERC-20智能合约并将一个ERC-20令牌传输到交易所帐户来实现。在分散的交换上，编程函数“depositToken”然后可以告诉“transfer From”函数将任意数量的令牌存入攻击者的帐户。在集中交换上，改为调用“Transfer”函数，并将智能合约的“_to”和“_value”字段设置为攻击者的帐户地址和所需的令牌数量。

研究显示，分散交易所交易量最大的易受攻击的代币，如CloudBric、MovieCredits、BullandBear、Love和EtherDOGE，几乎没有活动(如果有的话)。据这项研究的研究人员称，这些ERC-20令牌正在三个分散的交易所-IDEX、DDEX和Ether Delta上流通，这三个交易所本月修补了该漏洞。

相比之下，易受虚假存款攻击的ERC-20代币中有7716枚-占识别代币的99.2%-在Binance、Coinbase、OkEx和Kraken等中央交易所上市。4月份，中央交易所上受影响的代币价值超过11亿美元，大部分标准缺失的ERC-20代币都在这里交易。

Baer Chain的BRC令牌、Brave隐私Web浏览器的基本注意力令牌(BAT)、霍壁中文加密货币交易所的HPT令牌、Rocket Pool Etherum应用程序服务的RPL令牌和Power Ledger电网区块链的PWR令牌是集中交易所持有的易受攻击令牌的最高市值记录。研究称，87,000 BRC中约有391,000美元，305,000 BAT中约为388,000美元，1,000 HRT中约为63,000美元，3,000 RPL中约为39,000美元，50,000 PWR中约为28,000美元。

当被问及这一问题时，计算机科学家拒绝透露除分散交易所成交量排名前五和集中式交易所市值排名前五的以太硬币外，还有哪些受影响的以太硬币。研究人员也没有确定哪些集中式交换机没有执行推荐的以太令牌安全程序。

“对于我们发现的漏洞和攻击，其中一些已经得到确认，”王说。王说，无论是研究人员还是与研究团队合作的区块链安全公司PeckShield，都没有选择公开识别已知的10个易受攻击的令牌。

Brave Software首席信息安全官严柱表示，该漏洞与Brave浏览器钱包无关，在2017年修改以太区块链标准EIP-20以集成防止虚假存款攻击的软件实现之前，受影响的基本注意力令牌是在没有代理智能合同的情况下部署的。

另一方面，Power Ledger即使在以太基金会发布了更新的EIP-20软件实现之后，也部署了其受影响的ERC-20令牌。目前，Power Ledger技术总监约翰·布利奇(John Bulich)建议Power Ledger客户“把他们自己的加密资产放在自己的安全钱包里”，“不要相信集中式交易所除了他们目前的交易库存之外还有任何其他东西。”

中央交易所受影响的五个已知令牌发行商没有回应有关他们是否已向加密货币交易所核实该漏洞的询问。

CoinDesk是区块链新闻的领先者，是一家努力追求最高新闻标准并遵守一套严格的编辑政策的媒体渠道。CoinDesk是数字货币集团(Digital Currency Group)的独立运营子公司，该集团投资于加密货币和区块链初创公司。