Kassa!
Coinbase is een zeer bekende cryptocurrency exchange. De mega exchange is op de hoogte gesteld door het Nederlandse VI Company over een kwaal in het systeem. Een bug in het systeem liet gebruikers oneindig Ethereum verkrijgen naar aanleiding van een paar simpele stappen. In een vandaag gepubliceerd rapport op HackerOne geeft VI Company info over de bug.
By using a smart contract to distribute ether over a set of wallets you can manipulate the account balance of your Coinbase account. If 1 of the internal transactions in the smart contract fails all transactions before that will be reversed. But on Coinbase these transactions will not be reversed, meaning someone could add as much ether to their balance as they want. When you look up the Coinbase wallet address after this transaction you will see that it is empty, but checking your Coinbase wallet will show your funds.
Het Nederlandse bedrijf heeft eind december de bug doorgespeeld aan Coinbase. De exchange ging vervolgens op onderzoek uit om het gat te dichten. Enkele weken later betaalde Coinbase de Nederlanders uit middels het bountyprogramma van de exchange. VI Company ontving eind januari een beloning van 10.000 dollar.
Dit soort beloningen zijn niet ongebruikelijk in de wereld van tech. Wanneer knappe knoppen zwakheden binnen een systeem aantreffen en het bedrijf hierover inlichten kunnen ze een ruime financiële beloning ontvangen. Zo’n beloning is een schijntje in vergelijking met de bug die vaak voor het tienvoudige aan schade kan aanrichten.