Аналитики из голландской финтех-компании VI Company обнаружили в смарт-контракте криптовалютной биржи Coinbase уязвимость, которая давала пользователям возможность манипулировать балансом, зачисляя на него неограниченное количество токенов Ethereum.
Как стало известно, информация была передана в Coinbase в декабре 2017 года, а в январе биржа устранила уязвимость и выплатила за ее обнаружение $10000.
«Используя смарт-контракт для передачи Еther на несколько кошельков, можно манипулировать балансом по вашей учетной записи на Coinbase.
Если одна из внутренних транзакций в смарт-контракте не может быть проведена, предшествующие ей транзакции отменяются. Но эти транзакции не отменяются для Coinbase, то есть кто-то может завести на свой баланс сколько угодно Еther.
После такой транзакции по адресу криптокошелька Coinbase средства не видны, но они отображаются в в самом кошельке», — пояснили в VI Company и представили пошаговую инструкцию о том, как можно воспользоваться уязвимостью.
Создать смарт-контракт с несколькими полноценными и одним неисправным кошельком на Coinbase;
Перевести необходимую сумму на смарт-контракт;
Выполнять смарт-контракт, добавляя обозначенную сумму на кошелёк Coinbase, которая никогда не будет покидать пределов смарт-контракта, поскольку на последнем кошельке будет происходить отмена транзакции;
Повторить необходимое количество раз;
Вывести средства.
Смог ли кто-то из пользователей обнаружить и воспользоваться этой уязвимостью для собственного обогащения, неизвестно.
Напомним, что на днях разработчики Coinbase исправили ошибку в системе платежного шлюза, из-за которой пользователи потеряли свои средства в биткоинах.
Так же ранее стало известно, что из почти миллиона смарт-контрактов на основе Ethereum в 34200 обнаружены критические уязвимости. Такие данные обнародованы в результате масштабного исследования «Finding The Greedy, Prodigal, and Suicidal Contracts at Scale», проведенного пятью специалистами из Национального университета Сингапура (NUS), колледжа Yale-NUS и Университетского колледжа Лондона.
https://cryptocurrency.tech/ (C)
Не является индивидуальной инвестиционной рекомендацией
При копировании ссылка обязательна Нашли ошибку: выделить и нажать Ctrl+Enter
Как стало известно, информация была передана в Coinbase в декабре 2017 года, а в январе биржа устранила уязвимость и выплатила за ее обнаружение $10000.
«Используя смарт-контракт для передачи Еther на несколько кошельков, можно манипулировать балансом по вашей учетной записи на Coinbase.
Если одна из внутренних транзакций в смарт-контракте не может быть проведена, предшествующие ей транзакции отменяются. Но эти транзакции не отменяются для Coinbase, то есть кто-то может завести на свой баланс сколько угодно Еther.
После такой транзакции по адресу криптокошелька Coinbase средства не видны, но они отображаются в в самом кошельке», — пояснили в VI Company и представили пошаговую инструкцию о том, как можно воспользоваться уязвимостью.
Создать смарт-контракт с несколькими полноценными и одним неисправным кошельком на Coinbase;
Перевести необходимую сумму на смарт-контракт;
Выполнять смарт-контракт, добавляя обозначенную сумму на кошелёк Coinbase, которая никогда не будет покидать пределов смарт-контракта, поскольку на последнем кошельке будет происходить отмена транзакции;
Повторить необходимое количество раз;
Вывести средства.
Смог ли кто-то из пользователей обнаружить и воспользоваться этой уязвимостью для собственного обогащения, неизвестно.
Напомним, что на днях разработчики Coinbase исправили ошибку в системе платежного шлюза, из-за которой пользователи потеряли свои средства в биткоинах.
Так же ранее стало известно, что из почти миллиона смарт-контрактов на основе Ethereum в 34200 обнаружены критические уязвимости. Такие данные обнародованы в результате масштабного исследования «Finding The Greedy, Prodigal, and Suicidal Contracts at Scale», проведенного пятью специалистами из Национального университета Сингапура (NUS), колледжа Yale-NUS и Университетского колледжа Лондона.
https://cryptocurrency.tech/ (C)
Не является индивидуальной инвестиционной рекомендацией
При копировании ссылка обязательна Нашли ошибку: выделить и нажать Ctrl+Enter