Найти в Дзене
ZEROSPIEL — НОВОСТИ IT
109 подписчиков

Coinbase позволил пользователям накручивать себе бесконечный Ethereum

28
1 мин
Скорее всего вы пропустили баг всей своей жизни, упустив возможность стать мультимиллиардером. Согласно недавно опубликованному отчёту о уязвимостях, популярная биржа Coinbase пригрела у себя уязвимость в настройках смарт-контрактов Ethereum, которая позволила вознаграждать себя практически бесконечной суммой в ETH. Очень привлекательная уязвимость была обнаружена голландской финтех компанией VI Company, которая сообщила бирже о проблеме ещё в конце декабря прошлого года. Coinbase исправил ошибку в январе, выплатив VI Company сумму в $10 000 по баунти-программе. «Используя смарт-контракт для дистрибуции [ETH] по различным кошелькам, вы можете манипулировать балансом собственного аккаунта Coinbase», — пишут исследователи в отчёте HackerOne, представленном на бирже. «Если транзакция в один из кошельков в смарт-контракте не удастся, то все предыдущие транзакции будут отменены. Но на Coinbase эти транзакции не отменяются, а это значит, что человек может добавить столько Ethereum к своему

Скорее всего вы пропустили баг всей своей жизни, упустив возможность стать мультимиллиардером. Согласно недавно опубликованному отчёту о уязвимостях, популярная биржа Coinbase пригрела у себя уязвимость в настройках смарт-контрактов Ethereum, которая позволила вознаграждать себя практически бесконечной суммой в ETH.

Очень привлекательная уязвимость была обнаружена голландской финтех компанией VI Company, которая сообщила бирже о проблеме ещё в конце декабря прошлого года. Coinbase исправил ошибку в январе, выплатив VI Company сумму в $10 000 по баунти-программе.

«Используя смарт-контракт для дистрибуции [ETH] по различным кошелькам, вы можете манипулировать балансом собственного аккаунта Coinbase», — пишут исследователи в отчёте HackerOne, представленном на бирже.

«Если транзакция в один из кошельков в смарт-контракте не удастся, то все предыдущие транзакции будут отменены. Но на Coinbase эти транзакции не отменяются, а это значит, что человек может добавить столько Ethereum к своему балансу, сколько посчитает нужным», — пояснила VI Company.

Это фактически значит, что любой мог злоупотреблять этой уязвимостью, чтобы наполнять свои кошельки бесконечным количеством Эфира.

Исследователи представили снимки экрана, доказывая, что они смогли успешно использовать баг. Они также дали ссылку на то, что транзакция была прервана, если смотреть в Etherscan.

-2

VI Company также подробно описала шаги, которые предприняла для использования бага:

  • настройте смарт-контракт с несколькими действующими кошельками на Coinbase, а последним укажите недействительный кошелёк;
  • передайте средства через смарт-контракт;
  • выполните смарт-контракт, добавив заданное количество Эфира в кошельки Coinbase, операция с последним кошельком завершится неудачей;
  • повторить до тех пор, пока на вашем кошельке Coinbase не будет той суммы, которой хватит на жизнь ваших правнуков;
  • ОБНАЛИЧИВАЙТЕ.

Остаётся неясным одно: сумел ли кто-то успешно воспользоваться этим багом, чтобы разбогатеть. Coinbase пока не предоставила информацию по этому вопросу.

Хотите больше похожих статей в своей ленте? Ставьте LIKE

Понравилось читать меня? Подпишитесь на канал

Подпишитесь на канал в Telegram