Исследователи из компании VI Company обнаружили в системе смарт-контрактов криптовалютной биржи Coinbase уязвимость, позволяющую зачислить неограниченное количество криптовалюты Ethereum («эфир», ETH) на пользовательские счета.
По словам экспертов, пользователи могли манипулировать остатком по счету на бирже, используя смарт-контракт для распределения средств по набору кошельков.
«Если одну из внутренних транзакций в смарт-контракте не удастся выполнить, все транзакции должны быть отменены. Однако на Coinbase этого не происходит и транзакции не отменяются. Кто угодно может добавить столько эфира на свой баланс, сколько захочет», – отметили специалисты.
Таким образом, для того, чтобы перевести на свой кошелек неограниченное количество криптовалюты, пользователям достаточно было создать смарт-контракт с несколькими кошельками, один из которых должен быть неисправен. После этого достаточно выполнить смарт-контракт желаемое количество раз, а затем вывести средства с биржи.
Исследователи обнаружили уязвимость в декабре 2017 года, а в январе 2018 года она была устранена. Биржа выплатила экспертам вознаграждение в размере $10 тыс. В настоящее время неизвестно, была ли данная уязвимость эксплуатирована злоумышленниками.