21 березня на біржі Coinbase був виявлений збій в обробці вхідних транзакцій в ETH, який дозволив користувачам маніпулювати станом своїх рахунків. Дослідники помітили, що, використовуючи розумний контракт, будь-який користувач міг додати скільки завгодно ефірів на свій баланс. Незважаючи на те, що баг був виявлений лише кілька днів тому, повідомляється, що він існував з грудня минулого року. Coinbase виплатила винагороду в 10 000 доларів дослідницької компанії Vicompany, що виявила помилку.
«Дослідники помітили проблему з нашим кодом прийому ETH при одержанні його з контракту. Ця помилка дозволяла отримати ETH на Coinbase, навіть якщо виконання основного контракту не вдалося», – йдеться в заяві платформи. «Проблема була усунена шляхом зміни логіки обробки контракту. Аналіз проблеми вказував лише на випадкові збитки для Coinbase і на відсутність спроб зловмисного використання помилки».
Згідно Vicompany, шахрай міг маніпулювати своїм балансом ефіру, використовуючи розумний контракт для розподілу ефірів з набору гаманців. Vicompany пояснює, що, якщо одна з внутрішніх транзакцій завершиться невдачею, всі попередні транзакції будуть скасовані. Проте в інтерфейсі Coinbase транзакції не скасовувалися. Дослідники відзначають:
«На Coinbase подібні транзакції не будуть скасовані, а це означає, що хтось може додати стільки ефіру на свій баланс, скільки захоче».
Coinbase – не єдина біржі, яка страждає від помилок, що дозволяють користувачам маніпулювати балансами. У лютому цього року збій у роботі японської біржі Zaif дозволив
трейдерам безкоштовно «купувати» биткоины. За місяць до цього інциденту в Overstock стався збій
API, призвів до того, що компанія помилково брала оплату за товари в BCH замість BTC.
Thanks!
Our editors are notified.