Coinbase, jedna z najbardziej popularnych platform wymiany kryptowalut, miała lukę w obsłudze smart kontraktów, dzięki której użytkownicy mogli bez ograniczeń zwiększać saldo Ethereum (ETH) na swoich kontach. Dzięki temu bugowi można było stać się posiadaczem dowolnej ilości ETH dzięki kilku prostym krokom.
Świąteczne odkrycie
Holenderska firma fin-tech VI Company dokonała niezwykłego odkrycia. W grudniu 2017 r. firma ta postanowiła wynagrodzić swoich pracowników i klientów bonusami na święta Bożego Narodzenia w postaci niewielkich kwot ETH za pomocą smart kontraktów. Przy okazji realizacji prac nad tym programem świątecznym firma odkryła buga na Coinbase.
Programista i badacz z VI Company, Jesse Lakerveld, tak opisał odkrycie tego błędu:
„W tym czasie mieliśmy kilka portfeli Coinbase, które zwracały informacje o błędzie, gdy staraliśmy się wysłać na nie ethereum. To z kolei wstrzymywało wykonanie smart kontraktu i wszystkich transakcji, tak jak oczekiwaliśmy. Tym, czego nie spodziewaliśmy się, było to, że jeden z naszych kolegów, który zdecydował się użyć portfela Coinbase, powiedział nam, że otrzymał ETH. Po sprawdzeniu, odkryliśmy, że według smart kontraktów żadne ETH nie zostało wysłane do naszego kolegi. Ale według jego portfela Coinbase, on je otrzymał.”
To dziwne zdarzenie zostało początkowo określone jako zdarzające się „od czasu do czasu”. Zaintrygowany Lakerveld wraz z dwoma kolegami z pracy postanowili odtworzyć błąd. Po kilku przeprowadzonych testach zespół VI Company mógł niezawodnie odtwarzać ten błąd i dodawać ETH do swoich portfeli na Coinbase bez faktycznego wysyłania tej kryptowaluty. Takie działanie można było powtarzać wielokrotnie, aż do uzyskania pożądanej ilości ETH na koncie.
Tajne informacje ujawnione
Nie chcąc podawać tak smakowitego faktu do wiadomości publicznej, badacze z VI Company skontaktowali się 27 grudnia z zespołem do spraw bezpieczeństwa Coinbase. Miesiąc później dzięki wspólnej pracy obu firm błąd został naprawiony. Coinbase poprosiła firmę VI Company o to, by nie podawała publicznie informacji na temat buga do 21 marca 2018 r. W zamian za informacje o zaistniałym błędzie, Coinbase przyznała holenderskiej firmie nagrodę w wysokości 10.000 dolarów. Dzięki odkryciu VI Company, platforma Coinbase uniknęła katastrofy. Oficjalny raport dotyczący tego błędu został opublikowany 21 marca na na platformie HackerOne oraz na stronie internetowej VI Company. Firma podsumowała swoje odkrycie słowami:
„Używając smart kontraktów do dystrybucji ethereum poprzez zestaw portfeli można manipulować saldem swojego konta na Coinbase.”
Firma umieściła także w sieci zrzut ekranu potwierdzający skuteczność takiego działania:
Czy ominęła nas życiowa szansa na zgarnięcie światowych rezerw ETH?
W takiej sytuacji nietrudno sobie wyobrazić, że ktoś mógłby uzyskane w ten sposób ETH przesłać na inny portfel, który nie byłby związany z Coinbase lub wymienić tę kryptowalutę na tradycyjne waluty. Użytkownik platformy, decydując się wypłacić dużą sumę ETH, niewątpliwie zwróciłby na siebie uwagę pracowników Coinbase. Coinbase jest raczej restrykcyjna w zakresie weryfikowania tożsamości użytkowników. Warto zwrócić także uwagę na to, że saldo ETH zgromadzone dzięki takiemu działaniu jest tylko częścią wszystkich zapisów transakcji Coinbase, więc zapewne nieprawidłowości mogłyby zostać wykryte.
Jak do tej pory, nie ma żadnych informacji o tym, że ktokolwiek z użytkowników Coinbase skorzystał z tego błędu i zarobił na nim pieniądze.
