Según un informe de vulnerabilidad publicado recientemente, el reconocido servicio de intercambio de criptomonedas Coinbase, se vio afectado en la configuración de los contratos inteligentes de Ethereum, creando la posibilidad a los usuarios de recompensarse con una suma infinita de esta criptomoneda.
La vulnerabilidad fue descubierta por la compañía holandesa de fintech VI, que ya había reportado el problema a Coinbase en diciembre del año pasado. Luego de esto el intercambio le dio solución al fallo un mes después, recompensando a la firma holandesa con $ 10,000 dólares.
“Al usar un contrato inteligente para distribuir [ETH] en un conjunto de billeteras, puede manipular el saldo de la cuenta de Coinbase”, señalaron los investigadores en un informe de HackerOne suministrado a Coinbase.
“Si una transacción de billeteras en el contrato inteligente falla, todas las transacciones anteriores se revertirán”, explicó la compañía VI. “Pero en Coinbase, estas transacciones no se revertirán, lo que significa que una persona podría agregar tanto Ethereum a su saldo como lo desee”.
Esto básicamente significaba, que cualquier usuario podía haber hecho uso del error para acreditar a sus billeteras con enormes cantidades de Ethereum.
Los investigadores aportaron pruebas de haberse podido aprovechar de este fallo, detallando además los pasos que siguieron para valerse de él.
- Configurar un contrato inteligente con algunas billeteras validas en Coinbase y una billetera final defectuosa.
- Transferir los fondos apropiados al contrato.
- Ejecutar un contrato inteligente agregando la cantidad establecida de Ether a las billeteras en Coinbase sin dejar la billetera del contrato inteligente, debido a que la transacción completa falla en esta última.
- Repetir el proceso hasta tener la suficiente cantidad de Ether en su billetera.
- Retirar los fondos obtenidos.
A pesar de esto, todavía no hay conocimiento de que algún usuario haya podido aprovechar este fallo para obtener Ether en la plataforma de intercambio.
