В системе смарт-контрактов криптобиржи Coinbase финтех-компанией VI Company обнаружена уязвимость, что привело к зачислению пользователями на свои счета неограниченного количества эфира.  Специалисты компании поставили об этом в известность руководство биржи и в январе текущего года баг был устранен.

«Манипуляции с остатком на счете биржи стали возможны, благодаря использованию умного контракта для распределения эфира по кошелькам. Обычно при отказе в прохождении одной транзакции, все, что были ранее, тоже отменяются. А на бирже они не отменялись, то есть пользователь мог добавлять себе на счет сколько угодно эфира», - написали в отчете специалисты из VI Company.

Экспертами были опубликованы скриншоты, показывающие процесс зачисления Ethereum y счет с использованием отмен транзакций.

Схема использования уязвимости, по словам исследователей, примерно такая: создается смарт-контракт, имеющий один неисправный кошелек на бирже, затем на контракт переводится нужная сумма. Следующим шагом будет выполнение контракта с последующим добавлением суммы на кошелек биржи (она не покинет пределы контракта, потому что на последнем кошельке идет отмена транзакций). Все операции повторяются, сколько нужно и последнее – вывод денег.

Пока что неизвестно, воспользовался ли кто-нибудь из пользователей биржи данной уязвимостью.

Подписаться на Telegram-канал Coinsider