Chińskie firma zajmująca się cyber bezpieczeństwem SlowMist w dniu 28.06.2018 wykryła lukę pozwalającą na podwójne wydawania środków kryptowaluty Tether (USDT).
SlowMist poinformował za pośrednictwem Twittera, że byli w stanie wysłać USDT na giełdę (nie podano nazwy giełdy) bez poprawnych wartości pól w transakcji. Oznacza to, że osoby mogą otrzymać tokeny bez ich wysłania, czyli środki mogły zostać wydawane podwójnie.
交易所在进行USDT充值交易确认是否成功时存在逻辑缺陷,未校验区块链上交易详情中valid字段值是否为true,导致“假充值”,用户未损失任何USDT却成功向交易所充值了USDT,而且这些 USDT 可以正常进行交易。
我们已经确认真实攻击发生!相关交易所应尽快暂停USDT充值功能,并自查代码是否存在该逻辑缺陷。 pic.twitter.com/EPzZIsZFzH— SlowMist (@SlowMist_Team) June 28, 2018
Po tweecie z SlowMist, założyciel OmniLayer, platformy, na której utworzono USDT, zaproponował wyjaśnienie błędu:
$Omni #OmniLayer In light of the recent news we have put together some points and a guide of best practices to integrating the Omnicore client. https://t.co/vGOsExgBus
All integrators should ensure they are checking the "valid" flag of a transaction before proceeding.— Omni (@Omni_Layer) June 28, 2018
„Wydaje mi się, że to, co się stało, polega na tym, że giełda nie sprawdzała ważnej flagi transakcji. Zaakceptowali transakcję z valid = false (której nie powinni mieć), a następnie druga transakcja „podwójnego wydania” miała wartość true, która również została zaakceptowana. Błąd polegał na błędnej integracji wymiany.”
Obserwator Crypto CryptoMedication opublikował zdjęcie błędu.
https://twitter.com/CryptoMedicated/status/1012440835785359361
OKEx jest bezpieczna
Druga największa na świecie giełda pod względem obrotów, OKEx, zamieściła oświadczenie dotyczące błędu. Giełda poinformowała, że przeprowadziła serię testów, w chwili kiedy została powiadomiona o luce przez SlowMist, po czym stwierdziła, że OKEx nie jest „narażony na tę lukę”.
We confirm that OKEx is SAFE from the vulnerability found by @SlowMist_Team regarding USDT deposit. Please rest assured that your assets are safe and secure with us.https://t.co/0FsPxQXe1P pic.twitter.com/VQtLID0kMD
— OKX (@okx) June 28, 2018
Według CryptoMedication, możliwość podwójnego wydawania środków ma poważne konsekwencje, ponieważ:
„luka mogła być wykorzystywana wielokrotnie”.
Crypto Medication dodaje, że „wydaje się być problemem wymiany … bardziej niż kwestią Tether …”
Ostanie dodrukowanie Tether
W tym tygodniu Tether wydał 250 milionów nowych tokenów, które w założeniu mają mieć pełne pokrycie w dolarze Amerykańskim. Pod koniec marca Tether wydał 300 milionów tokenów, co doprowadziło do niewielkiego wzrostu cen Bitcoin (BTC). W ostatnim czasie 25.06.2018 pojawił się raport, w którym badacze z University of Texas stwierdzili, że USDT został wykorzystany jako instrument do manipulacji cenami BTC w 2017 roku. Odnaleziona luka może mieć poważne konsekwencje rynkowe ponieważ stablecoin odgrywa istotną rolę dla płynności rynku.
