В отличие от бага на японской криптовалютной бирже Zaif, уязвимость системы юзеры даже не заметили и не воспользовались ей.
Впервые проблему обнаружила датская техническая компанией VI Сompany. Руководители планировали раздать сотрудникам Ethereum в качестве бонуса перед праздниками, но наткнулись на проблемы с кодом эфира при использовании смарт-контрактов. Они заметили, что некоторые кошельки записывают покупки и транзакции, которых вообще не было.
Обнаружив эту уязвимость еще в январе 2018 года, команда сделала следующее заявление:
«Используя умный контракт для распространения эфира, вы можете манипулировать балансом своего счета. Если какая-то одна транзакция не проходит, прекращаются все остальные, но в COINBASE эти транзакции не аннулируются. Это означает, что юзер может добавлять на свой счет столько эфира, сколько ему захочется».
Филантропы из VI Company даже написали пошаговую инструкцию для проведения этой аферы:
- Установите умный контракт с несколькими действительными и одним невалидным кошельками;
- Переведите средства на умный контракт;
- Проведите умный контакт, добавляя эфиры на кошельки Coinbase, на самом деле не покидая их, потому что транзакция проваливается только на последнем кошельке;
- Повторите, пока не соберете необходимое количество эфира на своем кошельке;
- Обналичьте, переведите средства на сторонний кошелёк.
Если бы пользователи были внимательнее и заметили этот баг, они смогли бы за ночь стать крипто-миллиардерами. После устранения проблемы руководство Coinbase отблагодарило команду за их находку Bounty-наградами на 10000 долларов.
