Kontrak Coinbase Smart Terbuka untuk Penarikan ETH Tanpa Batas

Coinbase, salah satu layanan yang paling banyak digunakan untuk pelanggan berbasis di AS, mengalami gangguan kontrak cerdas , untungnya tanpa kerugian besar. Logika kontrak cerdas yang rusak ada selama sekitar satu bulan, berpotensi memungkinkan saldo Ethereum yang tak terbatas. Pertukaran menunjukkan bahwa tidak ada yang mengeksploitasi kontrak pintar, meskipun menyebutkan tentang kerugian yang tidak disengaja.

Kesalahan dalam kontrak pintar memungkinkan pengguna hanya menambahkan ETH ke akun Coinbase mereka, yang tidak sama dengan menarik Ethereum secara bebas ke dalam dompet kunci pribadi. Dan karena akun Coinbase sepenuhnya diverifikasi dan terkait dengan kepribadian, eksploitasi kontrak cerdas akan mengungkapkan setiap upaya untuk benar-benar menarik koin ETH.

Masalah ini ditemukan dalam program bounty dan dihargai $ 10.000.

Komunitas crypto agak khawatir dengan berita:

"Coinbase bug memungkinkan Anda memberi hadiah pada diri Anda sendiri dengan Ethereum tanpa batas." https://t.co/BSigA3hiMT pic.twitter.com/zxrzRPyhjx

- WhalePanda (@WhalePanda) 21 Maret 2018
Namun keamanan kontrak yang cerdas tetap menjadi isu yang jauh lebih besar, dan sejauh ini, beberapa proyek startup terus menjalankan kontrak cerdas tanpa audit, atau hanya mengandalkan program karunia. Kontrak cerdas masih relatif baru, dan logika yang salah telah menyebabkan penarikan tak terbatas di masa lalu juga, terutama di hack DAO ICO.

Namun beberapa orang percaya bahwa kontrak cerdas bertindak dengan benar, sementara masalahnya adalah dengan sistem keseimbangan Coinbase terpusat. Itu setelah pembayaran kontrak cerdas ditangani bahwa potensi kerugian muncul. Sejauh ini, tidak diketahui apakah seseorang bisa memindahkan ETH dalam jumlah besar tanpa mengungkapkan kepribadian aslinya.

2/3 Ini adalah twist pada serangan konfirmasi nol terhadap pertukaran atau pedagang yang selalu kita lihat. Kontrak pintar menjalankan 49 transaksi yang dibangun di atas satu sama lain mengirim ke Coinbase, dan kemudian yang terakhir gagal membatalkan seluruh rantai. https://t.co/lAU7Y2cAaP

- Adam B. Levine (@GamerAndy) 21 Maret 2018
Biasanya, output dari kontrak pintar dianggap benar, tetapi penanganan data dapat menyebabkan kesalahan yang masuk akal, kali ini dalam mengkreditkan saldo pengguna berdasarkan output kontrak.

Hingga saat ini, pertukaran telah melindungi diri dari pengeluaran ganda atau saldo yang salah dengan mengharuskan sejumlah besar konfirmasi transaksi. Bahaya terbesar adalah menerima transaksi nol-konfirmasi.

Sejauh ini, sebagian besar kesalahan telah terjadi seputar kontrak cerdas berbasis ETH, terutama karena ini adalah platform yang paling banyak digunakan. Tapi ini tetap menjadi salah satu tantangan keamanan terbesar untuk ruang crypto.

Share: