Große Exchanges wie HitBTC, OKEx und Poloniex haben das Abheben und Einzahlen von ERC-20 Tokens zunächst ausgesetzt. Grund dafür ist der sogenannte BatchOverflow Bug, vom dem einzelne Ethereum basierte ERC-20 Tokens betroffen sein könnten.
Viele der derzeit in Umlauf befindlichen Kryptowährungen sind sogenannte ERC-20 Tokens. Dabei handelt es sich genaugenommen um Tokens, die als Smart Contracts auf der Ethereum Blockchain basieren. Zu den bekanntesten ERC-20 Tokens zählen EOS (noch, geben demnächst eigene Tokens aus), TRON, VeChain, OmiseGO, BNB und die Mehrzahl der bei ICOs ausgegeben Token.
Sicherheitsforscher haben jetzt eine Schwachstelle in den Smart Contracts einiger ERC-20 Tokens entdeckt. Die Schwachstelle wird derzeit als BatchOverflow Bug bezeichnet. Im Prinzip erlaubt es der Bug, dass Angreifer durch die Sicherheitslücke eine sehr große Anzahl von Tokens transferieren können, ohne dass sie diese tatsächlich besitzen. Es können also durch den Bug mehr Tokens kreiert werden, als tatsächlich im Smart Contract vorgesehen sind als Max Supply.
Das ganze wird dann kritisch, wenn die neu erschaffenden Tokens zu Exchanges geschickt werden und da gegen BTC, ETH oder sogar USD getauscht werden. Durch die inflationär wirkenden neuen Token könnten ganze Marktkapitalisierungen hinfällig werden, da die neue Token Anzahl die betreffenden Kryptowährungen wertlos machen können.
Die ersten Exchanges (OKEx, HitBTC, Poloniex) haben daher jetzt angekündigt, die Einzahlungen und Auszahlungen von ERC-20 Tokens zunächst auszusetzen, bis mehr über den Bug bekannt ist. Wie der Bug allerdings behoben werden kann ist noch nicht bekannt, da der Code der Smart Contracts nicht geändert werden kann. Es kann also sein, dass die betroffenen ERC-20 Tokens für immer wertlos werden. Von den großen ERC-20 Tokens scheint aber bisher niemand durch den Bug angreifbar zu sein. Kritisch ist das Problem auch aufgrund der dezentralen Exchanges, denn hier gibt es keine zentrale Instanz, die das Handeln der betroffenen ERC-20 Tokens aussetzen könnte.
We've temporarily suspended ERC-20 token deposits and withdrawals while we review all smart contracts for exposure to the reported batchOverflow bug. We take any reports of vulnerabilities very seriously to ensure that customer funds remain safe. Thank you for your patience!
— Poloniex Exchange (@Poloniex) April 25, 2018
Due to a potential issue detected in ERC20 smart contracts, we initiated an internal inspection. All deposits and transfers on ERC20 tokens will be getting online in accordance with the results of the inspection. Please refer to the System Health page for online status.
— HitBTC (@hitbtc) April 25, 2018
Das BatchOverflow Bug zeigt auch eindrucksvoll, wie schnell ein Investment in eine Kryptowährung wertlos werden kann. Denn durch das künstliche erschaffen neuer Tokens, verlieren die bestehenden Tokens komplett ihren Wert.