MMGP logo
Присоединяйтесь к нашему инвестиционному форуму, на котором уже 649,762 пользователей. Чтобы получить доступ ко многим закрытым разделам и начать общение - зарегистрируйтесь прямо сейчас.
Первый пост Опции темы
Старый 22.03.2018, 14:50
#1
Мастер
 
Регистрация: 19.08.2016
Сообщений: 3,356
Благодарностей: 350


Недавно стало известно, что в системе Coinbase - одной из крупнейших криптовалютных компаний в мире, существовал баг, который позволял получить неограниченные средства в ETH.

Уязвимость была обнаружена голландской фирмой Fintech VI, которая сообщила об этом Coinbase еще в конце декабря прошлого года. Обменник исправил баг месяц спустя, в январе, и выплатил вознаграждение голландской компании в размере 10.000 долларов.

Используя смарт-контракт для распределения ETH на ряд кошельков, вы можете манипулировать балансом аккаунта вашей учетной записи на Coinbase.
Если перевод на один из кошельков в рамках смарт контракта не удастся, все транзакции совершенные до этого будут отменены. Но на Coinbase эти транзакции не отменяются, а это означает, что человек может добавить на свой баланс столько Ethereum сколько пожелает.
Это фактически означает, что любой пользователь Coinbase мог воспользоваться этой уязвимостью, чтобы получить неограниченное количество Ethereum.

Исследователи предоставили скриншоты, доказывая, что они смогли успешно использовать баг и предоставили номер транзакции.



Баг Coinbase позволял получать неограниченное количество Ethereum

Fintech VI также подробно описала шаги, которые необходимо предпринять для воспроизведения уязвимости:

Настройте смарт-контракт с несколькими работающими кошельками Coinbase и [одним] последним неисправным кошельком
Отправьте необходимую сумму средств на смарт контракт
Инициируйте исполнение смарт контракта и отправьте заданную сумму в ether на другие кошельки на Coinbase; транзакция потерпит неудачу на последнем кошельке
Повторяйте до тех пор, пока на вашем кошельке в Coinbase не окажется достаточно ether
Выведите деньги

Остается неясным, удалось ли кому-нибудь воспользоваться уязвимостью или нет.


Источник
m555 вне форума
Войдите, чтобы оставить комментарий.
Быстрый переход