Хакер #305. Многошаговые SQL-инъекции
В конце февраля 2018 года сводная группа экспертов предупреждала, что более 34 000 смарт-контрактов Ethereum имеют потенциальные проблемы и уязвимости, о которых владельцы контрактов даже не подозревают.
На этой неделе словам экспертов нашлось новое подтверждение: стало известно о баге в смарт-контракте Ethereum, принадлежащем крупной криптовалютной бирже Coinbase.
Проблему еще в декабре 2017 года обнаружили специалисты голландской фирмы VI Company. Теперь, когда уязвимость устранили, а компания получила 10 000 долларов награды и «зеленый свет» на раскрытие данных, исследователи опубликовали в блоге подробный рассказ о своей «находке».
Специалисты пишут, что баг в смарт-контракте, который использовался для распределения средств между несколькими кошельками, позволял пользователям зачислять на свой балланс на бирже неограниченное количество криптовалюты Ethereum.
«Если одна из транзакций смарт-контракта не удалась, все транзакции перед ней должны быть отменены. Но на Coinbase такие транзакции не отменялись, а значит, человек мог добавить на свой балланс столько Ethereum, сколько пожелает», — объясняют эксперты VI Company.
Хотя проблему обнаружили еще 27 декабря 2017 года, уязвимость была устранена окончательно только 26 января 2018 года. В своем отчете специалисты VI Company подчеркивают, что анализ проблемы показал, что воспользоваться уязвимостью никто не успел.