Ethereum milyoneri olmak için harika bir fırsatı kaçırmış olabilirsiniz!
“Ethereum hesap bakiyesi manipülasyonu” başlığı altında verilen büyük bir hata, hatalı bir işlem veya hatalı adres cüzdanı ile akıllı bir sözleşme yürütme içeren bir dizi adımı izleyerek cüzdanınızdaki sınırsız eter kaynağına erişilmesine izin verdi. Ancak hata giderildiğinden fırsat ortadan kalktı.
Drama nasıl ortaya çıktı?
VI Company adlı bir Hollandalı fintech firması geçen yılın Aralık ayında Coinbase'e karşı güvenlik açığını belirledi ve bildirdi. ABD'nin en büyük kripto para borsası derhal harekete geçti, ancak Ocak ayının sonraki bölümünde hatayı düzeltmek neredeyse bir ay sürdü. (Ayrıca bakınız, Coinbase: Nedir ve Nasıl Kullanıyorsunuz?)
VI Şirketi, Coinbase borsası tarafından konuyla ilgili samimi raporlaması nedeniyle 10.000 $ ödül ile ödüllendirildi ve sorun kamuya açıklandı.
Hata Sınırsız ETH Kaynağına Nasıl İzin Verdi?
Ethereum, akıllı sözleşmeleri ağının ayrılmaz bir parçası olarak kullanır. Güvenlik açığı, aşağıdaki senaryoda akıllı sözleşmeler yoluyla fon transferi sırasında ortaya çıkmıştır.
Diyelim ki bir kullanıcı eterleri bir dizi cüzdan üzerinden dağıtmak için akıllı sözleşmeler kullandı. Bu standart uygulama, Ethereum ağında birden fazla işlem yapılmasına neden olacaktır. Böyle bir ara işlem başarısız olursa, akıllı sözleşmelerin çalışma mekanizması nedeniyle bundan önceki tüm diğer işlemler de geri alınacaktır. (Ayrıca bkz. Hack'lere Karşı Savunmasız Ethereum Akıllı Sözleşmeleri: Risk Altında 4 Milyon Dolar.)
Ancak, bu işlemlerin tersine çevrilmeyeceği Coinbase hesabında sorun oluşur. Bu, bir kişinin dengesine sonsuz sayıda eter eklemesine izin verdi. Coinbase cüzdan adresini aramak, herhangi bir etere yatırılmadığını ortaya çıkarsa da, kişinin Coinbase cüzdanı jetonları gösterecektir.
Esasen, bir kullanıcı yüzlerce işlem arasında bölünmüş fon transferini başlatmak için akıllı bir sözleşme kullanabilir. Kullanıcı sonunda yanlışlıkla hatalı bir işlem ayarlarsa, önceki tüm işlemler geri alınır ve cüzdanını kümülatif jeton miktarıyla kredilendirir.
HackerOne, sorunu yeniden oluşturmak için VI Şirketi tarafından aşağıdaki adımları listeler:
- Akıllı sözleşme alırken birkaç geçerli Coinbase cüzdanı ve her zaman istisna oluşturan bir son hatalı cüzdan ile akıllı bir sözleşme oluşturun Akıllı sözleşmeye uygun fonları aktarın Akıllı sözleşme cüzdanından ayrılmadan akıllı sözleşmeyi yürütmeye başlayın. Coinbase cüzdanlarına ayarlanan miktarda eter ekleyecektir. Tüm işlem son cüzdanda başarısız olacağından, önceki tüm işlemler geri alınacak, ancak Coinbase hesabında geri dönmeyecek.Bu prosedürü uygulayan kişi artık parayı ödeyebilir veya istenen eterleri diğer cüzdanına aktarabilir.
Bu hata nedeniyle herhangi bir büyük ihlal veya yanlış kullanımla ilgili henüz bir rapor olmamasına rağmen, Coinbase “kazara kayıp” u doğruladı. Özet bir notta Coinbase, “Sorun, sözleşme taşıma mantığı değiştirilerek düzeltildi. Sorunun analizi sadece Coinbase için kazara kayıp olduğunu ve istismar girişimi olmadığını gösterdi. ”(Ayrıca bkz. Bitcoin Hackedilebilir mi?)
