ข่าวไอที Blognone » นักวิจัยพบช่องโหว่ Coinbase Wallet ผู้ใช้สามารถสร้าง Ethereum ในบัญชีตัวเองเท่าไหร่ก็ได้

นักวิจัยพบช่องโหว่ Coinbase Wallet ผู้ใช้สามารถสร้าง Ethereum ในบัญชีตัวเองเท่าไหร่ก็ได้

25 มีนาคม 2018
83   0

นักวิจัยจากบริษัท VI Company รายงานถึงช่องโหว่ของบริการ Coinbase Wallet ที่เปิดให้ผู้ใช้สามารถเปลี่ยนแปลงเลขจำนวนเงิน Ethereum ในบัญชีของตัวเองได้จนพอใจ และทาง Coinbase แก้ปัญหานี้แล้วตั้งแต่เดือนมกราคมที่ผ่านมา โดยไม่มีรายงานว่ามีแฮกเกอร์ใช้ช่องโหว่นี้เพื่อขโมยเงินออกไป

นักวิจัยสังเกตความผิดปกติเพื่อพยายามส่งเงินเข้าไปยัง Coinbase Wallet โดยใช้ smart contract ที่ส่งเงินออกไปยังหลายบัญชีพร้อมๆ กัน แต่ระหว่างทางเกิดความผิดพลาด เช่น แก๊สหมด ทำให้ transaction ถูกยกเลิก และเงินที่ถูกโอนถูกยกเลิกไปด้วสย แต่ Coinbase Wallet กลับแจ้งว่าได้รับเงินเรียบร้อยแล้ว หากผู้ที่รู้ช่องโหว่นี้มุ่งร้ายก็อาจจจะถอนเงินออกไปตามจำนวนที่ Wallet แจ้งไว้

ทาง VI Company แจ้งช่องโหว่นี้ตั้งแต่ปลายปี 2017 ที่ผ่านมา และทาง Coinbase แก้ปัญหานี้เมื่อปลายเดือนมกราคม รวมเวลาแก้ปัญหาประมาณหนึ่งเดือน ก่อนที่จะเปิดเผยช่องโหว่นี้เมื่อสัปดาห์ที่แล้ว และทาง Coinbase พิจารณารางวัล 10,000 ดอลลาร์ตามที่ประกาศไว้ว่าช่องโหว่เปลี่ยนแปลงจำนวนบัญชีเงินได้รางวัลเท่านี้ (รางวัลสูงสุดคือการรันโค้ดจากระยะไกล 50,000 ดอลลา่ร์

Coinbase นับเป็นบริษัทแลกเงินคริปโตขนาดใหญ่ โดยปีที่แล้วมีรายได้รวมถึงพันล้านดอลลาร์

ที่มา - HackerOne, VI Company

[source: https://www.blognone.com/node/100950]