一家荷兰金融科技公司在加密货币交易所Coinbase的系统中发现了一个严重的漏洞,如果被有恶意的实体利用,可能会造成很高的代价。报告该错误后,Coinbase团队已解决该错误。
该漏洞已由荷兰VI公司在其HackerOne帐户上于周三公开披露。最初是在去年12月底报道的。
该披露显示,智能合约中的错误(规范基于以太坊区块链的加密货币转移的术语)允许用户操纵其Coinbase账户的账户余额。
关VI公司描述该漏洞时说,根据设计,智能合约中的内部交易之一是否会使所有交易失败,然后再将其冲销。但是在Coinbase上,这些交易并没有逆转,这意味着某人可以根据需要添加任意数量的以太币。
相关新闻Supertech尚未“移交” 200个单位,未获得任何超额收益:购房者拉利特·莫迪(Lalit Modi)抨击戈弗雷·飞利浦(Godfrey Philips),此前该公司驳回了他的股权出售要求,称其为“公然骗子”温柔的两轮车销售:Muthoot Capital Services继续感到热但是,此余额仅在Coinbase钱包中显示。如果使用未链接到Coinbase的钱包,该错误将不会出现。VI公司团队还发布了一些步骤,这些步骤可以使用户获得他们可能会花费的所有以太币:
—使用几个有效的Coinbase钱包和[一个]最终有故障的钱包设置智能合约
-将适当的资金转移到智能合约
—执行智能合约,将设定量的以太币添加到Coinbase钱包中,而无需实际离开智能合约钱包,因为完整交易在最后一个钱包中失败
-重复进行,直到您的Coinbase钱包中的以太币足够多为止
-兑现。
“通过更改合同处理逻辑解决了该问题。对问题的分析表明,Coinbase仅是意外损失,没有任何利用尝试。” Coinbase说。
“安全团队感谢VI Company的快速披露,也感谢内部团队在数小时内提出了修复建议。我们非常感谢VI Company的耐心,因为返回到HackerOne的完整通信循环比修复部署周期花费了更长的时间。”
加密货币交易所向发现该漏洞的团队奖励了10,000美元。“是的,10,000美元的奖励相当可观,但是将其与该漏洞可能造成的潜在损失进行比较,使奖励显得微不足道,”发现该漏洞的团队成员杰西·莱克维尔德(Jesse Lakerveld)写道。博客文章。