november 17, 2018
  • facebook
  • twitter
  • googleplus
  • linkedin
  • instagram
  • Väntar på att kurserna hämtas..
  • New York
  • London
  • Moscow
  • Tokyo
  • Stockholm
  • Delhi
  • Bangkok

Ännu en bugg i kryptovaluta – som kunde gjort dig rik

  • mars 26, 2018
  • Redaktionen

Du kanske har missat en bra möjlighet att bli en miljonär på kryptovalutan Ethereum. En större bugg som inlämnades under titeln “Ethereum Account Balance Manipulation”, har visat att det gått att erhålla ett obegränsat antal Ethereum i en eWallet. Detta genom att följa en rad åtgärder som innebär ett smidigt kontraktsutförande med en felaktig transaktion eller en felaktig adress till plånboken. 

ads

 

 

Hur upptäcktes denna bugg?

Ett holländskt fintechföretag som heter VI Company identifierade och rapporterade sårbarheten mot Coinbase under december förra året. Coinbase, som är den största börsen för kryptovalutor i USA, vidtog genast åtgärder men det tog ändå nästan en månad innan denna bugg var hanterad.

VI Company belönades med 10 000 USD av Coinbase för sin uppriktiga rapportering av buggen och dess offentliggörande.

 

Hur buggen tillät ett obegränsat antal Ethereum

Ethereum använder smarta kontrakt som en integrerad del av sitt nätverk. Sårbarheten fanns vid överföringing av genom smarta kontrakt i följande scenario.

Säg att en användare använde smarta kontrakt för att distribuera Ethereum över en uppsättning av flera plånböcker. Denna standardövning skulle resultera i flera transaktioner på Ethereum-nätverket. Om en sådan mellanliggande transaktion misslyckas, kommer alla andra transaktioner före den också att reverseras på grund av smarta kontrakts arbetsmekanism. Problemet uppstår emellertid på Coinbase-kontot där dessa transaktioner inte kommer att reverseras. Det gjorde det möjligt för en person att lägga till ett oändligt antal Ethereum till sin balans. Även om du tittar på Coinbase-plånboksadressen kommer det att avslöja att den inte krediteras med några Ethereum. Trots detta kom personens Coinbase-plånbok att visa ett innehav av tokens.

 

I huvudsak kan en användare använda ett smart kontrakt för att initiera överföringar som delas över hundratals transaktioner. Om användaren avsiktligt ställer in en felaktig transaktion i slutet, kommer alla tidigare transaktioner att bli omvända och kreditera sin plånbok med den kumulativa summan av tokens.

 

HackerOne listar följande steg som VI Company upptäckte när de skulle återskapa problemet:

  • Skapa ett smart kontrakt med några giltiga Coinbase-plånböcker och en sista felaktig plånbok som alltid tar undantag när du mottar pengar över ett smart kontrakt
  • Överför lämpliga medel till det smarta kontraktet
  • Börja med att genomföra det smarta kontraktet, utan att lämna det smarta kontraktens plånboksadress. Det kommer att överföra den angivna mängden Ethereum till Coinbase-plånböckerna. Den fullständiga transaktionen kommer emellertid att misslyckas vid den sista plånboken vilket gör att alla tidigare transaktioner kommeratt vändas. Det kommer emellertid inte att visa sig på Coinbase-kontot.
  • Den som utför denna procedur kan nu utbetala eller överföra Ethereum till en annan plånbok.

 

Även om det inte finns några rapporter om några stora överträdelser eller missbruk på grund av detta fel har Coinbase bekräftat en “oavsiktlig förlust”. I ett sammandrag noterar Coinbase, att buggen har hantrats genom att ändra kontraktshanteringslogiken. Analys av problemet angav endast oavsiktlig förlust för Coinbase, och inga exploateringsförsök.

 
ads

Tips