Galbūt praleidote puikią galimybę tapti „Ethereum“ milijonieriumi!
Didelė klaida, užregistruota pavadinimu „Ethereum sąskaitos balanso manipuliavimas“, leido pasiekti neribotą kiekį eterių jūsų piniginėje, atlikus keletą žingsnių, susijusių su intelektualiu sutarties vykdymu su klaidinga operacija arba netinkama adreso pinigine. Tačiau galimybės nebėra, nes klaida dabar ištaisyta.
Kaip atsiskleidė drama?
Praėjusių metų gruodį Nyderlandų „fintech“ įmonė, vadinama „VI Company“, nustatė ir pranešė apie „Coinbase“ pažeidžiamumą. Didžiausia JAV kriptovaliutų birža nedelsdama ėmėsi veiksmų, tačiau klaidos pataisymas vėlesnėje sausio dalyje užtruko beveik mėnesį. (Taip pat žiūrėkite, „Coinbase“: kas tai yra ir kaip jūs juo naudojatės?)
„VI Co“ kompanija buvo apdovanota „Coinbase“ birža už 10 000 USD vertės nemokančią sumą už atvirą pranešimą apie emisiją, o emisija buvo viešai paviešinta.
Kaip klaida leido neribotą ETH tiekimą?
„Ethereum“ naudoja intelektines sutartis kaip neatsiejamą savo tinklo dalį. Pažeidžiamumas egzistavo pervedant lėšas pagal intelektines sutartis pagal šį scenarijų.
Tarkime, vartotojas naudojo intelektualiąsias sutartis, norėdamas paskirstyti eterius kelioms piniginėms. Ši standartinė užduotis lemtų daugybę operacijų „Ethereum“ tinkle. Jei vienas toks tarpinis sandoris žlugs, visi kiti iki jo įvykdyti sandoriai taip pat bus anuliuoti dėl sumaniųjų sutarčių veikimo mechanizmo. (Taip pat žiūrėkite „Ethereum Smart“ sutartis, pažeidžiamas „Hacks“: 4 mln. USD eterio rizika.)
Tačiau problema iškyla „Coinbase“ sąskaitoje, kur šios operacijos nebus panaikintos. Tai leido žmogui pridėti begalinį skaičių eterių į savo pusiausvyrą. Nors ieškant „Coinbase“ piniginės adreso paaiškės, kad jis nėra įskaitytas jokiuose eteriuose, asmens „Coinbase“ piniginėje bus rodomi žetonai.
Iš esmės vartotojas galėtų naudoti sumaniąją sutartį, norėdamas inicijuoti lėšų pervedimą, padalytą iš šimtų operacijų. Jei vartotojas sąmoningai nustato klaidingą operaciją pabaigoje, visos ankstesnės bus anuliuotos, įskaitydamos savo piniginę su kaupiamuoju žetonų kiekiu.
„HackerOne“ išvardija šiuos „VI Company“ veiksmus, norėdama atkurti problemą:
- Sudarykite intelektualiąją sutartį su keliomis galiojančiomis „Coinbase“ piniginėmis ir viena paskutine sugedusia pinigine, kuri visada atmeta išimtį, kai gauna lėšas išmaniajai sutarčiai. Perduokite tinkamas lėšas į išmaniąją sutartįNesitraukdami iš intelektualiosios sutarties piniginės, pradėkite vykdyti išmaniąją sutartį. Tai pridės nustatyto eterio kiekio į „Coinbase“ pinigines. Kadangi visa operacija žlugs paskutinėje piniginėje, visos ankstesnės operacijos bus atvirkštinės, tačiau jos nepervers „Coinbase“ sąskaitoje. Šią procedūrą atliekantis asmuo dabar gali išsigryninti pinigus arba pervesti norimus eterius į kitą piniginę.
Nors kol kas nėra pranešimų apie didelius pažeidimus ar piktnaudžiavimą dėl šios klaidos, „Coinbase“ patvirtino „atsitiktinį praradimą“. Suvestiniame pranešime „Coinbase“ mini: „Problema buvo išspręsta pakeitus sutarčių tvarkymo logiką. Problemos analizė parodė tik atsitiktinį „Coinbase“ praradimą ir jokių bandymų išnaudoti. “(Taip pat žr. Ar„ Bitcoin “gali būti nulaužtas?)
