Воскресенье , 22 Апрель 2018

Ошибка Coinbase позволила пользователям бесплатно получить ETH

В работе Coinbase, одного из наиболее востребованных сервисов среди американских клиентов, была обнаружена серьезная уязвимость, к счастью, без больших потерь. Сбой смарт-контракта существовал около месяца, при этом пользователи торговой площадки могли зачислять на свой счет неограниченное число монет Ethereum, а затем выводить средства. Биржа указала, что никто не использовал смарт-контракт, хотя были упоминания о случайных потерях.

Сбой в смарт-контракте позволил пользователям только добавлять ETH в свою учетную запись Coinbase, что не равноценно свободному выводу Ethereum в кошелек с закрытым ключом. И поскольку учетные записи Coinbase полностью подтверждены и связаны с личностями, эксплойт смарт-контракта выявил бы любую попытку фактически вывести монеты ETH.

Об ошибке было сообщено 21 марта, но проблема существовала с декабря 2017 года. Coinbase вручил голландской компании VI Company награду в размере 10 000 долларов США после того, как она обнаружила сбой.

«Как пояснили аналитики компании, манипулировать балансом учетной записи можно, используя смарт-контракт для передачи Ethereum на несколько кошельков. Если одна из внутренних транзакций в смарт-контракте не проходит, предшествующие ей транзакции отменяются. Но эти транзакции не отменяются для Coinbase, а значит кто-то может зачислить на свой баланс сколько угодно Ethereum.», — объясняет торговая платформа из Сан-Франциско.

Проблема была устранена путем изменения логики обработки контракта. Анализ проблемы указывал только на случайную потерю для Coinbase и никаких попыток эксплуатации.

Тяжелый год

Этот инцидент — далеко не единственный, с которым Coinbase столкнулся за последний год. С момента массового притока новых пользователей в середине 2017 года, технические возможности крупнейшего в США провайдера биржи и кошелька были на пределе, что привело к задержкам и краже средств, сбоям в системе и другим проблемам.

Несмотря на обещания повысить производительность, реакция на ошибку, которая технически могла привести к потере миллиардов долларов в криптовалюте, достаточно красноречива; Coinbase исправил проблему только через месяц после того, как получил сообщение о ней.

Coinbase — это не единственный обмен, который страдает от сбоев, дающих возможность пользователям манипулировать балансами. В феврале этого года японская биржа Zaif обнаружила ошибку, которая позволяла пользователям покупать BTC за нулевые доллары. За месяц до инцидента с Zaif у компании Overstock был сбой API, который позволил пользователям оплачивать товары с использованием BCH для продукта, оцененного в BTC.

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *