Du har kanskje gått glipp av en flott mulighet til å bli et Ethereum-millionær!
En stor feil, lagt inn under tittelen "Ethereum account balance manipulation", tillot for tilgang til et ubegrenset antall etere i lommeboken din ved å følge en serie trinn som involverer en smart kontraktgjennomføring med en feiltransaksjon eller en feil adresselommebok. Men muligheten er borte, ettersom feilen nå er løst.
Hvordan brettet dramaet seg ut?
Et nederlandsk fintech-firma som heter VI Company identifiserte og rapporterte sårbarheten for Coinbase i løpet av desember i fjor. Den største cryptocurrency-utvekslingen i USA tok raskt grep, men det tok nesten en måned å fikse feilen i den senere delen av januar. (Se også Coinbase: Hva er det og hvordan bruker du det?)
VI Company ble belønnet av Coinbase-utvekslingen med et dusørbeløp på $ 10.000 for sin ærlige rapportering av emisjonen, og problemet ble offentliggjort.
Hvordan tillot feilen ubegrenset ETH-levering?
Ethereum bruker smarte kontrakter som en integrert del av nettverket. Sårbarheten eksisterte under overføring av fond gjennom smarte kontrakter i følgende scenario.
Si at en bruker brukte smarte kontrakter for å distribuere etere over et sett med flere lommebøker. Denne standardøvelsen ville resultere i flere transaksjoner på Ethereum-nettverket. Hvis en slik mellomtransaksjon mislykkes, vil alle de andre transaksjonene før den også bli reversert på grunn av arbeidsmekanismen til smarte kontrakter. (Se også Ethereum-smarte kontrakter som er sårbare for hacks: $ 4 millioner i eter i fare.)
Problemet oppstår imidlertid på Coinbase-kontoen der disse transaksjonene ikke vil bli reversert. Det gjorde det mulig for en person å legge et uendelig antall etere til balansen. Selv om du ser opp Coinbase-lommebokadressen vil avsløre at den ikke er kreditert noen etere, vil personens Coinbase lommebok vise symbolene.
I hovedsak kan en bruker bruke en smart kontrakt for å sette i gang fondoverføring som er delt i hundrevis av transaksjoner. Hvis brukeren med vilje angir en feiltransaksjon på slutten, vil alle de tidligere bli reversert og kreditere lommeboken sin med den kumulative mengden tokens.
HackerOne lister opp følgende trinn av VI Company for å gjengi problemet:
- Sett opp en smart kontrakt med noen få gyldige Coinbase lommebøker og en endelig feil lommebok som alltid kaster unntak når du mottar midler smart kontrakt Overfør passende midler til den smarte kontraktenHvis du forlater den smarte kontraktlommeboken, kan du begynne å utføre den smarte kontrakten. Den vil legge den angitte mengden eter til Coinbase lommebøker. Siden den komplette transaksjonen vil mislykkes i den siste lommeboken, vil alle tidligere transaksjoner reverseres, men de vil ikke reversere på Coinbase-kontoen. Personen som utfører denne prosedyren kan nå utbetale eller overføre de ønskede eter til annen lommebok
Selv om det ennå ikke er rapportert om store brudd eller misbruk på grunn av denne feilen, har Coinbase bekreftet "utilsiktet tap". I et sammendragsnotat nevner Coinbase, "Problemet ble løst ved å endre logikk for kontrakthåndtering. Analyse av problemet indikerte bare tilfeldig tap for Coinbase, og ingen utnyttelsesforsøk. ”(Se også, Kan Bitcoin bli hacket?)
