Tags:
Node Thumbnail

นักวิจัยจากบริษัท VI Company รายงานถึงช่องโหว่ของบริการ Coinbase Wallet ที่เปิดให้ผู้ใช้สามารถเปลี่ยนแปลงเลขจำนวนเงิน Ethereum ในบัญชีของตัวเองได้จนพอใจ และทาง Coinbase แก้ปัญหานี้แล้วตั้งแต่เดือนมกราคมที่ผ่านมา โดยไม่มีรายงานว่ามีแฮกเกอร์ใช้ช่องโหว่นี้เพื่อขโมยเงินออกไป

นักวิจัยสังเกตความผิดปกติเพื่อพยายามส่งเงินเข้าไปยัง Coinbase Wallet โดยใช้ smart contract ที่ส่งเงินออกไปยังหลายบัญชีพร้อมๆ กัน แต่ระหว่างทางเกิดความผิดพลาด เช่น แก๊สหมด ทำให้ transaction ถูกยกเลิก และเงินที่ถูกโอนถูกยกเลิกไปด้วย แต่ Coinbase Wallet กลับแจ้งว่าได้รับเงินเรียบร้อยแล้ว หากผู้ที่รู้ช่องโหว่นี้มุ่งร้ายก็อาจจจะถอนเงินออกไปตามจำนวนที่ Wallet แจ้งไว้

ทาง VI Company แจ้งช่องโหว่นี้ตั้งแต่ปลายปี 2017 ที่ผ่านมา และทาง Coinbase แก้ปัญหานี้เมื่อปลายเดือนมกราคม รวมเวลาแก้ปัญหาประมาณหนึ่งเดือน ก่อนที่จะเปิดเผยช่องโหว่นี้เมื่อสัปดาห์ที่แล้ว และทาง Coinbase พิจารณารางวัล 10,000 ดอลลาร์ตามที่ประกาศไว้ว่าช่องโหว่เปลี่ยนแปลงจำนวนบัญชีเงินได้รางวัลเท่านี้ โดยรางวัลสูงสุดคือการรันโค้ดจากระยะไกล 50,000 ดอลลาร์

Coinbase นับเป็นบริษัทแลกเงินคริปโตขนาดใหญ่ โดยปีที่แล้วมีรายได้รวมถึงพันล้านดอลลาร์

ที่มา - HackerOne, VI Company

Get latest news from Blognone

Comments

By: FutureLifePlus
iPhoneAndroid
on 26 March 2018 - 02:27 #1040220

ขอรบกวนสอบถามผู้รู้หน่อยครับ แก๊สหมด เกี่ยวข้องอะไรกับบริการตัวนี้หรือครับ

By: OXYGEN2
ContributoriPhoneAndroidWindows
on 26 March 2018 - 07:30 #1040228 Reply to:1040220
OXYGEN2's picture

เคยอ่านบทความเกี่ยวกับ ETHเหมือนเป็นค่าธรรมเนียมครับ


oxygen2.me, panithi's blog

Device: ThinkPad T480s, iPad Pro, iPhone XS Max, Galaxy Note 8, Huawei P30 Pro

By: AlninlA
ContributorAndroidUbuntu
on 26 March 2018 - 08:36 #1040241 Reply to:1040220
AlninlA's picture

ที่เขาถามๆ กันครับ

I used mew to swap eth for btc to send them to an ico. The transaction failed because of low gas but I did not get my eth back and my balance is showing as zero.

By: totiz
ContributoriPhoneAndroidRed Hat
on 26 March 2018 - 10:48 #1040286 Reply to:1040220
totiz's picture

ในระบบ smart contract เวลาเรียกใช้ function ต่างๆ เช่นในที่นี้คือเรียกโอนเงิน จะให้กำหนด gas สูงสุดที่ยอมจ่ายเพื่อรันคำสั่งครับ ถ้า gas หมด คือ failed

โดย gas จะถูกคิดจากโค้ดแต่ละบรรทัดที่รันไป

gas use * gas price = eth ที่ต้องจ่าย

By: lew
FounderJusci's WriterMEconomicsAndroid
on 26 March 2018 - 11:11 #1040300 Reply to:1040220
lew's picture

อ่านเพิ่มเติมบทความ Ethereum


lewcpe.com, @public_lewcpe

By: akebin on 26 March 2018 - 08:01 #1040231
akebin's picture

ไปด้วสย --> ไปด้วย
ดอลลา่ร์ --> ดอลลาร์

By: errin on 26 March 2018 - 08:41 #1040244

พอได้ยินคำว่าแก๊สหมดละนึกถึงแท๊กซี่ไทยขึ้นมาทันที