Несколько недель назад появилась неприметная и оставшаяся за пределами внимания большинства СМИ информация о том, что на целом ряде известных криптовалютных бирж была обнаружена уязвимость, позволявшая злоумышленникам за счет манипуляций увеличивать баланс своих аккаунтов и затем выводить средства еще до того, как мошенничество будет обнаружено.
Уязвимость выявил разработчик смарт-контрактов Алексей Матиясевич, а в составлении отчета приняли участие блокчейн-стартап Ambisafe, команда платформы Giveth и так называемые «белые хакеры» (White Hat Group).
Брешь в безопасности, эксплуатируя которую с бирж теоретически можно было вывести произвольные суммы в ETH или других криптовалютах, была обнаружена в ходе тестирования работы различных платформ. В частности, речь шла о том, чтобы проверить соответствие биржевых депозитов спецификациям Ethereum.
Проведенные тесты неожиданно показали, что как минимум восемь известных централизованных бирж имели один и тот же баг, который позволял производить манипуляции с пользовательскими аккаунтами и изменять их балансы, осуществляя вывод средств на внешние адреса еще до того, как мошенничество будет обнаружено.
«Мы предполагаем, что проблема находится в коде обработки депозитов», — говорилось в совместном отчете Ambisafe, Giveth и White Hat Group.
Также в документе отмечается, что данная атака будет успешной для ETH и ETC, но также может быть актуальной для ряда форков, в особенности для таких монет, как UBIQ, EXP, POA, TOMO и ELLA. В то же время подчеркивается, что децентрализованные биржи, которые не имеют горячего кошелька или пула, к атаке неуязвимы.
«И тут я подумал: ну как же так! Начал разбираться, копать глубже и пришел к новым неожиданным выводам», — сказал в разговоре с журналистом ForkLog Алексей Матиясевич.
По его словам, изначально был обнаружен только один возможный способ скомпрометировать аккаунты.
«Мы сообщили об этом всем биржам, где была обнаружена эта уязвимость. После этого мы разослали наш отчет еще почти 200 биржам, которые также могли быть потенциально уязвимы, и на этом, как казалось, мы сделали все, что смогли».
Однако, по словам Алексея, несколько позже пришло осознание, что у хакеров может быть еще один способ воспользоваться уязвимостью.
«Проснувшись утром, я проверил и эту возможность, и так, собственно, и оказалось: мои предположения оказались верны!»
Для начала он поделился своей находкой с пятью крупными биржами, на которых была обнаружена уязвимость, однако в дальнейшем было установлено, что под потенциальным ударом находятся и десятки других платформ, о чем они и были моментально уведомлены.
В своем отчете разработчики рекомендовали немедленно прекратить прием депозитов в ETH и ETC и тщательно изучить код обработки, конвертировав плоский список следов внутренних транзакций во вложенный список. После этого следовало совершить ряд действий для устранения проблемы. Дополнительно были даны рекомендации по устранению и второго способа эксплуатации уязвимости.
Примечательно, что подавляющее большинство бирж не сделало никаких публичных комментариев касательно багов. Исключением стали представители Coinbase – калифорнийская компания не только подтвердила их существование, но и отблагодарила Ambisafe финансово, выплатив баунти в размере $21 000.
«Мы хотим поблагодарить Ambisafe за быструю связь с нами и помощь в решении обоих вопросов. В случаях с манипулированием балансами размер наших баунти обычно составляет $10 000. В данном случае в одном отчете содержалось сразу два таких примера, а также было приведено достаточно данных / контекста, чтобы подтолкнуть Coinbase к немедленному реагированию, поэтому мы выплатили двойной баунти плюс бонус за качество отчета», — заявили в Coinbase.
Любопытно, но на этом история не закончилась: как выяснил очень скоро Алексей Матиясевич, описанная уязвимость потенциально угрожала не только нативным валютам блокчейна Ethereum, но — при определенных методах внесения депозитов — и некоторым токенам.
В качестве примера была приведена транзакция, в ходе которой токены Propy (PRO) были отправлены на адрес одной из бирж. Как видно из данных Etherscan, транзакция получила статус Error, однако средства были успешно зачислены на аккаунт. Сам контракт токена при этом срабатывал верно, так как на аккаунте отправителя средств не было, но биржа – за счет бага — этот факт игнорировала.
Как бы то ни было, говорит Алексей Матиясевич, на сегодняшний день, насколько ему известно, выявленные проблемы устранены и опасности, что биржи станут жертвами злоумышленников, решивших задействовать этот вектор атаки, нет.
Также он считает необходимым обратить внимание на то, что биржи зачастую пренебрегают вопросами безопасности.
«В погоне за прибылью компании забывают про важность самой технологии. Мне хочется, чтобы люди разбирались в том чем, пользуются, особенно если они выступают посредниками между технологией и потребителем», — сказал Алексей.
Важно напомнить, что это уже не первый случай, когда представители WHG приходят на помощь криптовалютному сообществу. Так, летом прошлого года «белые хакеры» помогли вернуть $1,5 млн, похищенных злоумышленниками в результате уязвимости Ethereum-клиента Parity.
Позже в интервью ForkLog Алексей Матиясевич высказал мнение, что в настоящий момент происходит смена подхода к взаимодействию пользователей с сетью Ethereum, а также рассказал, какой механизм для приема депозитов использует разрабатываемая Ambisafe децентрализованная биржа Orderbook.io.
Источник
Уязвимость выявил разработчик смарт-контрактов Алексей Матиясевич, а в составлении отчета приняли участие блокчейн-стартап Ambisafe, команда платформы Giveth и так называемые «белые хакеры» (White Hat Group).
Брешь в безопасности, эксплуатируя которую с бирж теоретически можно было вывести произвольные суммы в ETH или других криптовалютах, была обнаружена в ходе тестирования работы различных платформ. В частности, речь шла о том, чтобы проверить соответствие биржевых депозитов спецификациям Ethereum.
Проведенные тесты неожиданно показали, что как минимум восемь известных централизованных бирж имели один и тот же баг, который позволял производить манипуляции с пользовательскими аккаунтами и изменять их балансы, осуществляя вывод средств на внешние адреса еще до того, как мошенничество будет обнаружено.
«Мы предполагаем, что проблема находится в коде обработки депозитов», — говорилось в совместном отчете Ambisafe, Giveth и White Hat Group.
Также в документе отмечается, что данная атака будет успешной для ETH и ETC, но также может быть актуальной для ряда форков, в особенности для таких монет, как UBIQ, EXP, POA, TOMO и ELLA. В то же время подчеркивается, что децентрализованные биржи, которые не имеют горячего кошелька или пула, к атаке неуязвимы.
«И тут я подумал: ну как же так! Начал разбираться, копать глубже и пришел к новым неожиданным выводам», — сказал в разговоре с журналистом ForkLog Алексей Матиясевич.
По его словам, изначально был обнаружен только один возможный способ скомпрометировать аккаунты.
«Мы сообщили об этом всем биржам, где была обнаружена эта уязвимость. После этого мы разослали наш отчет еще почти 200 биржам, которые также могли быть потенциально уязвимы, и на этом, как казалось, мы сделали все, что смогли».
Однако, по словам Алексея, несколько позже пришло осознание, что у хакеров может быть еще один способ воспользоваться уязвимостью.
«Проснувшись утром, я проверил и эту возможность, и так, собственно, и оказалось: мои предположения оказались верны!»
Для начала он поделился своей находкой с пятью крупными биржами, на которых была обнаружена уязвимость, однако в дальнейшем было установлено, что под потенциальным ударом находятся и десятки других платформ, о чем они и были моментально уведомлены.
В своем отчете разработчики рекомендовали немедленно прекратить прием депозитов в ETH и ETC и тщательно изучить код обработки, конвертировав плоский список следов внутренних транзакций во вложенный список. После этого следовало совершить ряд действий для устранения проблемы. Дополнительно были даны рекомендации по устранению и второго способа эксплуатации уязвимости.
Примечательно, что подавляющее большинство бирж не сделало никаких публичных комментариев касательно багов. Исключением стали представители Coinbase – калифорнийская компания не только подтвердила их существование, но и отблагодарила Ambisafe финансово, выплатив баунти в размере $21 000.
«Мы хотим поблагодарить Ambisafe за быструю связь с нами и помощь в решении обоих вопросов. В случаях с манипулированием балансами размер наших баунти обычно составляет $10 000. В данном случае в одном отчете содержалось сразу два таких примера, а также было приведено достаточно данных / контекста, чтобы подтолкнуть Coinbase к немедленному реагированию, поэтому мы выплатили двойной баунти плюс бонус за качество отчета», — заявили в Coinbase.
Любопытно, но на этом история не закончилась: как выяснил очень скоро Алексей Матиясевич, описанная уязвимость потенциально угрожала не только нативным валютам блокчейна Ethereum, но — при определенных методах внесения депозитов — и некоторым токенам.
В качестве примера была приведена транзакция, в ходе которой токены Propy (PRO) были отправлены на адрес одной из бирж. Как видно из данных Etherscan, транзакция получила статус Error, однако средства были успешно зачислены на аккаунт. Сам контракт токена при этом срабатывал верно, так как на аккаунте отправителя средств не было, но биржа – за счет бага — этот факт игнорировала.
Как бы то ни было, говорит Алексей Матиясевич, на сегодняшний день, насколько ему известно, выявленные проблемы устранены и опасности, что биржи станут жертвами злоумышленников, решивших задействовать этот вектор атаки, нет.
Также он считает необходимым обратить внимание на то, что биржи зачастую пренебрегают вопросами безопасности.
«В погоне за прибылью компании забывают про важность самой технологии. Мне хочется, чтобы люди разбирались в том чем, пользуются, особенно если они выступают посредниками между технологией и потребителем», — сказал Алексей.
Важно напомнить, что это уже не первый случай, когда представители WHG приходят на помощь криптовалютному сообществу. Так, летом прошлого года «белые хакеры» помогли вернуть $1,5 млн, похищенных злоумышленниками в результате уязвимости Ethereum-клиента Parity.
Позже в интервью ForkLog Алексей Матиясевич высказал мнение, что в настоящий момент происходит смена подхода к взаимодействию пользователей с сетью Ethereum, а также рассказал, какой механизм для приема депозитов использует разрабатываемая Ambisafe децентрализованная биржа Orderbook.io.
Источник