Ошибка в коде позволяла пользователям Coinbase получать бесплатный эфир

При помощи одного из смарт-контрактов в кошельке, который используется для хранения эфира, можно было получить на свой счет любую сумму в этой криптовалюте. В знак благодарности криптобиржа выплатила обнаружившим уязвимость специалистам $10 000.

Голландская финтех компания VI Company обнаружила ошибку в работе популярной в США криптобиржи Coinbase. Уязвимость позволяла пользователям зачислять на свой счет неограниченное количество криптовалюты Ethereum, которую затем можно было вывести со счета.

Краткое описание ошибки в публичном отчете VI Company выглядит так:

«Используя смарт-контракт для распределения эфира между кошельками, вы можете манипулировать балансом вашей учетной записи Coinbase. Если одна из внутренних транзакций в смарт-контракте не проходит, все транзакции, которые ей предшествуют, отменяются. Но на Coinbase эти транзакции не отменялись, поэтому кто-то может добавить на свой счет столько эфира, сколько захочет. Когда вы смотрите в адрес кошелька Coinbase после такой транзакции, вы увидите, что он пуст, но проверив сам кошелек Coinbase, вы увидите эти средства».

В том же отчете голландские специалисты подробно описывают последовательность из пяти действий, которые нужно совершить для воспроизведения ошибки.

VI Company сообщила Coinbase об уязвимости еще 27 декабря 2017 года. 26 января криптобиржа ее устранила, но попросила не разглашать публично информацию об этой проблеме до 21 марта, сообщает разработчик VI Company Джесси Лакервельд.

Coinbase выплатила голландским экспертам вознаграждение в размере $10 000. При этом криптобиржа не сообщила, успел ли кто-то из клиентов воспользоваться этой уязвимостью.

В середине марта Coinbase обнаружила проблему с переводами, из-за которой у клиентов платформы пропадали биткоины. Биржа в течение нескольких часов исправила ошибку имплементации SegWit и выплатила всем пострадавшим компенсацию.