Saturday , 20 October 2018

Помилка Coinbase дозволила користувачам безкоштовно отримати ETH

В роботі Coinbase, одного з найбільш затребуваних сервісів серед американських клієнтів, була виявлена ​​серйозна уразливість, на щастя, без великих втрат. Збій смарт-контракту існував близько місяця, при цьому користувачі торгового майданчика могли зараховувати на свій рахунок необмежену кількість монет Ethereum, а потім виводити кошти. Біржа вказала, що ніхто не використовував смарт-контракт, хоча були згадки про випадкові втрати.

Збій в смарт-контракті дозволив користувачам тільки додавати ETH до свого облікового запису Coinbase, що не рівноцінно вільному виведенню Ethereum в гаманець із закритим ключем. І оскільки облікові записи Coinbase повністю підтверджені і пов’язані з особистостями, експлойт смарт-контракту виявив би будь-яку спробу фактично вивести монети ETH.

Про помилку було повідомлено 21 березня, але проблема існувала з грудня 2017 року. Coinbase вручив голландській компанії VI Company нагороду в розмірі 10 000 доларів США після того, як вона виявила збій.

«Як пояснили аналітики компанії, маніпулювати балансом облікового запису можна, використовуючи смарт-контракт для передачі Ethereum на кілька гаманців. Якщо одна з внутрішніх транзакцій в смарт-контракті не проходить транзакції, що їй передували скасовуються. Але ці транзакції не скасовуються для Coinbase, а значить хтось може зарахувати на свій баланс скільки завгодно Ethereum. », – пояснює торгова платформа з Сан-Франциско.

Проблема була усунена шляхом зміни логіки обробки контракту. Аналіз проблеми вказував тільки на випадкову втрату для Coinbase і ніяких спроб експлуатації.

Важкий рік

Цей інцидент – далеко не єдиний, з яким Coinbase зіткнувся за останній рік. З моменту масового припливу нових користувачів в середині 2017 року, технічні можливості найбільшого в США біржового провайдера і гаманця були на межі, що призвело до затримок і крадіжки коштів, збоїв в системі і інших проблем.

Незважаючи на обіцянки підвищити продуктивність, реакція на помилку, яка технічно могла привести до втрати мільярдів доларів в криптовалюті, досить красномовна; Coinbase виправив проблему тільки через місяць після того, як отримав повідомлення про неї.

Coinbase – це не єдиний обмін, який страждає від збоїв, що дають можливість користувачам маніпулювати балансами. У лютому цього року японська біржа Zaif виявила помилку, яка дозволяла користувачам купувати BTC за нульові долари. За місяць до інциденту з Zaif у компанії Overstock був збій API, який дозволив користувачам оплачувати товари з використанням BCH для продукту, оціненого в BTC.

Leave a Reply

Your email address will not be published. Required fields are marked *