Биржа BitoPro потеряла 7 млн XRP из-за эксплойта частичного платежа
-
Тайваньская биржа BitoPro, недавно добавившая поддержку XRP, не учла некоторые особенности функционирования реестра криптовалюты, из-за чего злоумышленник смог сфальсифицировать депозит, чтобы затем продать зачисленные таким образом монеты. Предположительно, в результате этой атаки убытки биржи составили 7 млн XRP ($2,17 млн).
Чтобы повысить осведомлённость сообщества и, в частности, других торговых платформ, биржа Bitrue опубликовала серию твитов, в которых объяснила механизм работы эксплойта.
Чтобы проиллюстрировать «уязвимость частичного платежа», Bitrue привела пример транзакции, где пользователь заявляет об отправке 330 000 XRP, когда в действительности он передаёт всего 0,003255 XRP, сопровождая её отметкой «tfPartialPayment», свидетельствующей о том, что оплата намеренно осуществляется частично.
«Биржи (особенно те из них, которые реализовали поддержку XRP недавно) не знают о существовании “частичного платежа”. Они используют неверный параметр “Amount” для записи платежа. Всегда нужно использовать параметр “DeliveredAmount”», - обращает внимание Bitrue.
Согласно обозревателю реестра XRPScan, злоумышленник действительно отправил на адрес кошелька BitoPro множество платежей, значение которых в среднем не превышало 0,003255 XRP. На вкладке транзакций, однако, отображаются другие суммы, включая две по 3 млн XRP, которые и были успешно зачислены биржей на счёт.
-
Возникает мысль, что найти подобную уязвимость и суметь воспользоваться ею может только человек, занимающийся непосредственно разработками в сфере криптовалют. То есть это не классический хакер-злоумышленник.
-
Участник @cryptomax написал в Биржа BitoPro потеряла 7 млн XRP из-за эксплойта частичного платежа:
Возникает мысль, что найти подобную уязвимость и суметь воспользоваться ею может только человек, занимающийся непосредственно разработками в сфере криптовалют. То есть это не классический хакер-злоумышленник.
Это видно известный баг... тут просто его умело использовали...
-
Участник @casio написал в Биржа BitoPro потеряла 7 млн XRP из-за эксплойта частичного платежа:
Это видно известный баг... тут просто его умело использовали.
В любом случае про баг такой будет знать лишь тот, кто плотно контактирует с криптовалютами, причем именно с технической стороны.
-
@cryptomax как я понимаю злоумышленник после обмена успел всё таки вывести и похоже биржа не спешит отслеживать дорогу куда ушли деньги.
-
эти деньги на совести технической команды биржи. нужно изучать информацию при работе с новым активом.
-
@casio Ну как говорил Михаил Михайлович - тщательнее надо, тщательнее .. ))
-
Участник @limon1986 написал в Биржа BitoPro потеряла 7 млн XRP из-за эксплойта частичного платежа:
@cryptomax как я понимаю злоумышленник после обмена успел всё таки вывести и похоже биржа не спешит отслеживать дорогу куда ушли деньги.
ну так деньги уже ушли с биржи.. скорей всего через какой то черткойн.
-
@garryncha почему-то все начинают суетиться, когда уже инцидент случился. заранее поработать - не судьба.
-
Участник @ivan-ivanov написал в Биржа BitoPro потеряла 7 млн XRP из-за эксплойта частичного платежа:
@garryncha почему-то все начинают суетиться, когда уже инцидент случился. заранее поработать - не судьба.
ну так вон даже бинансе сломали... и то не смогли они все предотвратить....
-
@casio Бинанс говорит, что схема была очень хитрая. скоро узнаем на самом деле, действительно ли хитро все придумали или опять прощелкали сами.
-
Участник @ivan-ivanov написал в Биржа BitoPro потеряла 7 млн XRP из-за эксплойта частичного платежа:
@casio Бинанс говорит, что схема была очень хитрая. скоро узнаем на самом деле, действительно ли хитро все придумали или опять прощелкали сами.
да кто то просто их апи прослушал ... и получил данные...
-
@casio дополнительное ПО - это всегда уязвимое место, вот им и пользуются хакеры.
-
Участник @ivan-ivanov написал в Биржа BitoPro потеряла 7 млн XRP из-за эксплойта частичного платежа:
@casio дополнительное ПО - это всегда уязвимое место, вот им и пользуются хакеры.
ну дополнительное по это всегда канал для хакеров удобный
-
@casio странно, что биржи до сих пор не осознали это и не стараются уменьшить количество таких каналов.
-
Участник @ivan-ivanov написал в Биржа BitoPro потеряла 7 млн XRP из-за эксплойта частичного платежа:
@casio странно, что биржи до сих пор не осознали это и не стараются уменьшить количество таких каналов.
ну а как им без апи работать то ....
-
@casio есть же пользователи, которые не пользуются этим сервисом? в чем проблема для всех отказаться?
-
Участник @ivan-ivanov написал в Биржа BitoPro потеряла 7 млн XRP из-за эксплойта частичного платежа:
@casio есть же пользователи, которые не пользуются этим сервисом? в чем проблема для всех отказаться?
ну вся прелесть идет бирже от людей которые там через своих ботов торгуют.
-
@casio тогда пусть и страдают именно они, а не простые пользователи, которые работают по старинке.
-
Участник @ivan-ivanov написал в Биржа BitoPro потеряла 7 млн XRP из-за эксплойта частичного платежа:
@casio тогда пусть и страдают именно они, а не простые пользователи, которые работают по старинке.
ну так не понятно почему просто апи не отключили они там у себя...