Финтех-компания VI Company сообщила об обнаружении уязвимости в системе смарт-контрактов биржи Coinbase, которая позволяла пользователям зачислять неограниченное количество ETH на свои счета. Эксперты известили компанию о наличии уязвимости в декабре прошлого года, а в январе она была устранена. За свою работу сотрудники VI Company получили награду в $10 000.
«Используя смарт-контракт для распределения ETH по набору кошельков вы можете манипулировать остатком по счёту на Coinbase», – пишут исследователи в своём отчёте. «Если одна из транзакций в смарт-контракте не проходит, все транзакции, идущие перед ней, отменяются. Однако на Coinbase эти транзакции не отменяются, а значит, человек может добавить на свой счёт столько Ethereum, сколько пожелает».
На практике это значит, что пользователи Coinbase могли зачислять на свои счета любое количество Ethereum.
Исследователи предоставили скриншоты, на которых продемонстрировали, как зачисляли Ethereum на свой счёт, используя отмену транзакции.
Они также представили схему действий, позволивших им эксплуатировать баг:
- Создать смарт-контракт с несколькими полноценными и одним неисправным кошельком на Coinbase;
- Перевести необходимую сумму на смарт-контракт;
- Выполнять смарт-контракт, добавляя обозначенную сумму на кошелёк Coinbase, которая никогда не будет покидать пределов смарт-контракта, поскольку на последнем кошельке будет происходить отмена транзакции;
- Повторить необходимое количество раз;
- Вывести средства.
Смог ли кто-то из пользователей обнаружить и воспользоваться этой уязвимостью для собственного обогащения, неизвестно.
