Olet ehkä unohtanut loistavan tilaisuuden tulla Ethereum-miljonääriksi!
Suuri virhe, joka on jätetty otsikolla ”Ethereum-tilin saldojen manipulaatio”, salli pääsyn rajoittamattomaan määrään eettereitä lompakossasi seuraamalla useita vaiheita, joihin sisältyy älykäs sopimuksen suorittaminen viallisen tapahtuman tai viallisen osoite lompakon kanssa. Mutta mahdollisuus on mennyt, koska virhe on nyt korjattu.
Kuinka draama avasi?
Alankomaalainen fintech-yritys, nimeltään VI Company, tunnisti ja ilmoitti haavoittuvuudesta Coinbaseen viime vuoden joulukuussa. Yhdysvaltojen suurin kryptovaluuttavaihto aloitti toimintansa viipymättä, mutta virheen korjaaminen tammikuun loppupuolelle kesti melkein kuukauden. (Katso myös, Coinbase: Mikä se on ja kuinka käytät sitä?)
Coinbase-pörssi palkitsi VI-yhtiön arvoltaan 10 000 dollarin palkkion määrällä liikkeeseenlaskua koskevasta avoimesta ilmoituksesta, ja osake julkistettiin.
Kuinka vika salli rajoittamattoman ETH-tarjonnan?
Ethereum käyttää älykkäitä sopimuksia kiinteänä osana verkkoaan. Haavoittuvuus oli olemassa varojen siirron aikana älykkäiden sopimusten kautta seuraavassa skenaariossa.
Oletetaan, että käyttäjä käytti älykkäitä sopimuksia eetterien jakamiseen useiden lompakkojen joukolle. Tämä tavanomainen tehtävä johtaisi useisiin tapahtumiin Ethereum-verkossa. Jos yksi tällainen välitapahtuma epäonnistuu, myös kaikki muut sitä edeltävät liiketoimet peruutetaan älykkäiden sopimusten toimintamekanismin vuoksi. (Katso myös Hacksille haavoittuvia Ethereum Smart -sopimuksia: 4 miljoonaa dollaria eetteriä vaarassa.)
Ongelma esiintyy kuitenkin Coinbase-tilillä, jossa näitä tapahtumia ei peruuteta. Tämän ansiosta henkilö lisäsi loputtoman määrän eettereitä tasapainoonsa. Vaikka etsitään Coinbase-lompakon osoitetta, paljastuu, että sitä ei hyvitetä eettereihin, henkilön Coinbase-lompakko näyttää rahakkeet.
Pohjimmiltaan käyttäjä voisi käyttää älykästä sopimusta rahoituksen siirron aloittamiseen, joka on jaettu satojen tapahtumien kesken. Jos käyttäjä asettaa tarkoituksella virheellisen tapahtuman lopussa, kaikki aikaisemmat muuttuvat päinvastaisiksi, hyvittäen lompakkoaan kumulatiivisella määrillä rahakkeita.
HackerOne luettelee seuraavat toimet, joita VI Company toteuttaa ongelman toistamiseksi:
- Asenna älykäs sopimus muutamalla kelvollisella Coinbase-lompakolla ja yhdellä viimeisellä viallisella lompakolla, jotka aina poissulkevat saatuaan varoja älykkäälle sopimukselle.Siirrä asianmukaiset varat älykkäälle sopimukselleAseta älykkään sopimuksen lompakko poistumatta, aloita älykkään sopimuksen toteuttaminen. Se lisää asetetun määrän eetteriä Coinbase-lompakkoihin. Koska koko tapahtuma epäonnistuu viimeisellä lompakolla, kaikki aikaisemmat tapahtumat peruutetaan, mutta ne eivät käänny Coinbase-tilillä. Tätä menettelyä suorittava henkilö voi nyt nostaa rahaa tai siirtää halutut eetterit toiseen lompakkoon.
Coinbase on vahvistanut "vahingossa tapahtuvan menetyksen", vaikka tästä virheestä ei ole vielä ilmoitettu suurista rikkomuksista tai väärinkäytöksistä. Coinbase mainitsee tiivistelmässä: ”Asia korjataan muuttamalla sopimuksen käsittelylogiikkaa. Aiheen analysointi osoitti Coinbase -yrityksen vain vahingossa tapahtuvan menetyksen eikä mitään hyväksikäyttöyrityksiä. ”(Katso myös, Voiko Bitcoin saada hakkeroitua?)
