ZaRaBaRaHOROSHO

​В работе Coinbase, одного из наиболее востребованных сервисов среди американских клиентов, была обнаружена серьезная уязвимость, к счастью, без больших потерь. Сбой смарт-контракта существовал около месяца, при этом пользователи торговой площадки могли зачислять на свой счет неограниченное число монет Ethereum, а затем выводить средства. Биржа указала, что никто не использовал смарт-контракт, хотя были упоминания о случайных потерях.

Сбой в смарт-контракте позволил пользователям только добавлять ETH в свою учетную запись Coinbase, что не равноценно свободному выводу Ethereum в кошелек с закрытым ключом. И поскольку учетные записи Coinbase полностью подтверждены и связаны с личностями, эксплойт смарт-контракта выявил бы любую попытку фактически вывести монеты ETH.

Об ошибке было сообщено 21 марта, но проблема существовала с декабря 2017 года. Coinbase вручил голландской компании VI Company награду в размере 10 000 долларов США после того, как она обнаружила сбой.

«Как пояснили аналитики компании, манипулировать балансом учетной записи можно, используя смарт-контракт для передачи Ethereum на несколько кошельков. Если одна из внутренних транзакций в смарт-контракте не проходит, предшествующие ей транзакции отменяются. Но эти транзакции не отменяются для Coinbase, а значит кто-то может зачислить на свой баланс сколько угодно Ethereum.», — объясняет торговая платформа из Сан-Франциско.

Проблема была устранена путем изменения логики обработки контракта. Анализ проблемы указывал только на случайную потерю для Coinbase и никаких попыток эксплуатации.

Этот инцидент — далеко не единственный, с которым Coinbase столкнулся за последний год.