Anda mungkin telah melewatkan peluang besar untuk menjadi jutawan Ethereum!
Bug besar, yang diajukan dengan judul "Manipulasi saldo akun Ethereum, " memungkinkan untuk mengakses persediaan eter tak terbatas di dompet Anda dengan mengikuti serangkaian langkah yang melibatkan eksekusi kontrak pintar dengan transaksi yang salah atau dompet alamat yang salah. Tetapi kesempatan hilang, karena bug sekarang sudah diperbaiki.
Bagaimana Drama Terungkap?
Perusahaan fintech Belanda bernama VI Company mengidentifikasi dan melaporkan kerentanan terhadap Coinbase selama Desember tahun lalu. Pertukaran cryptocurrency terbesar di AS segera mengambil tindakan, tetapi butuh hampir sebulan untuk memperbaiki bug pada akhir Januari. (Lihat juga, Coinbase: Apa Itu dan Bagaimana Anda Menggunakannya?)
Perusahaan VI dihargai oleh pertukaran Coinbase dengan jumlah hadiah sebesar $ 10.000 untuk pelaporannya yang jujur tentang masalah ini, dan masalah ini diungkapkan kepada publik.
Bagaimana Bug Mengijinkan Pasokan ETH Tidak Terbatas?
Ethereum menggunakan kontrak pintar sebagai bagian integral dari jaringannya. Kerentanan ada selama transfer dana melalui kontrak pintar dalam skenario berikut.
Katakanlah, pengguna menggunakan kontrak pintar untuk mendistribusikan eter pada satu set beberapa dompet. Latihan standar ini akan menghasilkan beberapa transaksi di jaringan Ethereum. Jika satu transaksi perantara gagal, semua transaksi lain sebelum itu juga akan dibatalkan karena mekanisme kerja kontrak pintar. (Lihat juga, Ethereum Smart Contracts Rentan terhadap Hacks: $ 4 Juta di Ether at Risk.)
Namun, masalah terjadi pada akun Coinbase di mana transaksi ini tidak akan dibatalkan. Itu memungkinkan seseorang untuk menambahkan jumlah eter yang tak terbatas ke saldo mereka. Meskipun mencari alamat dompet Coinbase akan mengungkapkan bahwa itu tidak dikreditkan dengan eter apa pun, dompet Coinbase orang tersebut akan menunjukkan token.
Pada dasarnya, pengguna dapat menggunakan kontrak pintar untuk melakukan transfer dana yang terbagi dalam ratusan transaksi. Jika pengguna sengaja menetapkan transaksi yang salah pada akhirnya, semua yang sebelumnya akan dibalik, mengkreditkan dompetnya dengan jumlah token kumulatif.
HackerOne mendaftar langkah-langkah berikut oleh Perusahaan VI untuk mereproduksi masalah:
- Menyiapkan kontrak pintar dengan beberapa dompet Coinbase yang valid dan satu dompet rusak terakhir yang selalu memberikan pengecualian ketika menerima dana kontrak pintar. Transfer dana yang sesuai ke kontrak pintar. Tanpa meninggalkan dompet kontrak pintar, mulailah melaksanakan kontrak pintar. Ini akan menambah jumlah set eter ke dompet Coinbase. Karena transaksi lengkap akan gagal pada dompet terakhir, semua transaksi sebelumnya akan dibatalkan, tetapi mereka tidak akan mundur pada akun Coinbase. Orang yang menjalankan prosedur ini sekarang dapat menguangkan, atau mentransfer eter yang diinginkan ke dompet lain
Meskipun belum ada laporan tentang pelanggaran besar atau penyalahgunaan karena bug ini, Coinbase telah mengkonfirmasi "kehilangan karena kecelakaan". Dalam catatan ringkasan, Coinbase menyebutkan, “Masalah ini diperbaiki dengan mengubah logika penanganan kontrak. Analisis masalah mengindikasikan hanya kerugian yang tidak disengaja untuk Coinbase, dan tidak ada upaya eksploitasi. ”(Lihat juga, Bisakah Bitcoin Diretas?)
