Уязвимость в смарт-контракте биржи Coinbase

Сотрудники аналитического отдела голландской финансово – технической компании «VI Company» нашли в смарт-контракте биржи Coinbase, работающей с криптовалютой, брешь, позволявшую клиентам производить манипуляции над счетом, пополняя его «единицами» валюты Ethereum без всякого ограничения.

Сведения доведены до сотрудников Coinbase в прошлом декабре, в следующем месяце контора «закрыла» брешь, попутно заплатив выявившим ее лицам десять тыс. долларов.

«Применяя смарт-контракт для передачи Еthereum на несколько кошельков, можно «управлять» счетом посредством аккаунта на бирже Coinbase.

Когда одна из сделок с валютой в рамках анализируемого в статье контракта не проводится, предыдущие подлежат отмене. Но в случае с Coinbase они не аннулируются: есть возможность «закинуть» на счет любое количество «единиц» рассматриваемой криптовалюты.

По завершении подобной транзакции по адресу кошелька Coinbase «деньги» не отслеживаются, но они видны непосредственно в кошельке», —объяснили в компании, обнаружившей уязвимость. Сотрудники также показали алгоритм, описывающий процесс использования уязвимости:

  1. Создание смарт – контракта.

Для этого нужно использовать некоторое количество нормально функционирующих и однин кошелек «с браком» на платформе Coinbase;

  1. Перевод денег на указанный контракт;
  2. Его выполнение — добавление определенной суммы на кошелёк Coinbase.

Она будет «циркулировать» в контракте, так как на последнем кошельке сделка будет отменяться;

  1. Совершить операцию несколько раз;
  2. Запросить вывод средств.

Была ли брешь обнаружена и успешно использована клиентами, неизвестно.

Несколько дней назад разработчики биржи ликвидировали ошибку в «начинке» системы платежей, послужившую причиной потери клиентами своих денег, конвертированных в биткоины.

Кроме того, ранее стало известно, что в более чем 34 тысячах смарт-контрактов на основе Ethereum (всего их — около 1 млн.) найдены опасные уязвимости. Эти данные обнародованы после крупного проекта аналитического характера — «Finding The Greedy, Prodigal, and Suicidal Contracts at Scale», в котором приняли участие представители учебных заведений, находящихся в Сингапуре, а также университетского колледжа английской столицы.

Поделитесь ссылкой с друзьями
Самые интересные статьи в нашем Telegram канале