Iespējams, ka esat palaidis garām lielisku iespēju kļūt par Ethereum miljonāru!
Liela kļūda, kas iesniegta ar nosaukumu “Ethereum konta atlikuma manipulācijas”, ļāva piekļūt neierobežotam ētera krājumam jūsu makā, veicot virkni darbību, kas saistītas ar pārdomātu līguma izpildi ar kļūdainu darījumu vai nepareizu adreses maku. Bet iespēja vairs nav, jo kļūda tagad ir novērsta.
Kā drāma izvērsās?
Nīderlandes fintech firma ar nosaukumu VI Company pagājušā gada decembrī identificēja un ziņoja par neaizsargātību pret Coinbase. ASV lielākā kriptovalūtu birža nekavējoties veica pasākumus, taču kļūdas labošanai līdz janvāra vēlākajai daļai bija nepieciešams gandrīz mēnesis. (Skat. Arī Coinbase: Kas tas ir un kā jūs to lietojat?)
VI uzņēmums tika apbalvots no Coinbase biržas ar lielu summu USD 10 000 par vaļsirdīgu ziņošanu par emisiju, un emisija tika publiski atklāta.
Kā kļūda ļāva neierobežotu ETH piegādi?
Ethereum izmanto viedos līgumus kā sava tīkla neatņemamu sastāvdaļu. Ievainojamība pastāvēja līdzekļu pārskaitīšanas laikā, izmantojot viedos līgumus, izmantojot šādu scenāriju.
Sakiet, ka lietotājs izmantoja viedos līgumus, lai sadalītu ēterus vairāku maku komplektā. Šis standarta vingrinājums radītu vairākus darījumus Ethereum tīklā. Ja viens šāds starpposma darījums neizdodas, viedie līgumu darbības mehānisma dēļ visi citi darījumi, kas bijuši pirms tā, arī tiks atcelti. (Skatīt arī Ethereum Smart līgumus, kas ir neaizsargāti pret Hacks: USD 4 miljoni ēterā, kas pakļauts riskam.)
Tomēr problēma rodas Coinbase kontā, kur šie darījumi netiks atsaukti. Tas ļāva cilvēkam līdzsvarā pievienot bezgalīgu skaitu ēteru. Lai gan, uzmeklējot Coinbase seifa adresi, atklāsies, ka tā netiek ieskaitīta nevienā ēterī, personas Coinbase makā tiks parādīti žetoni.
Būtībā lietotājs varētu izmantot viedo līgumu, lai sāktu līdzekļu pārskaitījumu, kas sadalīts simtiem darījumu. Ja lietotājs mērķtiecīgi iestata kļūdainu darījumu beigās, visi iepriekšējie tiks apvērsti, kreditējot viņa / viņas maku ar kopējo marķieru daudzumu.
HackerOne uzskaita šādus VI uzņēmuma darbības, lai atkārtotu problēmu:
- Izveidojiet viedo līgumu ar dažiem derīgiem Coinbase seifiem un vienu galīgo kļūdaino maku, kas vienmēr izņēmumus saņem, saņemot līdzekļus viedajam līgumam.Pārsūtiet atbilstošos līdzekļus viedajam līgumamAtstājot viedā līguma maku, sāciet viedā līguma izpildi. Tas pievienos iestatīto ētera daudzumu Coinbase makiem. Tā kā viss darījums neizdosies pēdējā makā, visi iepriekšējie darījumi tiks mainīti, bet Coinbase kontā tie netiks apgriezti. Persona, kas veic šo procedūru, tagad var veikt naudas izņemšanu vai pārnest vēlamo ēteri uz citu maku.
Lai gan pagaidām nav ziņojumu par lieliem pārkāpumiem vai nepareizu izmantošanu šīs kļūdas dēļ, Coinbase ir apstiprinājusi “nejaušu zaudējumu”. Kopsavilkumā Coinbase piemin: “Problēma tika novērsta, mainot līgumu apstrādes loģiku. Problēmas analīzē tika norādīts tikai uz nejaušiem Coinbase zaudējumiem un netika veikti nekādi mēģinājumi. ”(Skat. Arī Vai Bitcoin var tikt uzlauzts?)
