Chińskie firma zajmująca się cyber bezpieczeństwem SlowMist w dniu 28.06.2018 wykryła lukę pozwalającą na podwójne wydawania środków kryptowaluty Tether (USDT).
SlowMist poinformował za pośrednictwem Twittera, że byli w stanie wysłać USDT na giełdę (nie podano nazwy giełdy) bez poprawnych wartości pól w transakcji. Oznacza to, że osoby mogą otrzymać tokeny bez ich wysłania, czyli środki mogły zostać wydawane podwójnie.
交易所在进行USDT充值交易确认是否成功时存在逻辑缺陷,未校验区块链上交易详情中valid字段值是否为true,导致“假充值”,用户未损失任何USDT却成功向交易所充值了USDT,而且这些 USDT 可以正常进行交易。
我们已经确认真实攻击发生!相关交易所应尽快暂停USDT充值功能,并自查代码是否存在该逻辑缺陷。 pic.twitter.com/EPzZIsZFzH— SlowMist (@SlowMist_Team) June 28, 2018
Po tweecie z SlowMist, założyciel OmniLayer, platformy, na której utworzono USDT, zaproponował wyjaśnienie błędu:
$Omni #OmniLayer In light of the recent news we have put together some points and a guide of best practices to integrating the Omnicore client. https://t.co/vGOsExgBus
All integrators should ensure they are checking the "valid" flag of a transaction before proceeding.— Omni (@Omni_Layer) June 28, 2018
„Wydaje mi się, że to, co się stało, polega na tym, że giełda nie sprawdzała ważnej flagi transakcji. Zaakceptowali transakcję z valid = false (której nie powinni mieć), a następnie druga transakcja „podwójnego wydania” miała wartość true, która również została zaakceptowana. Błąd polegał na błędnej integracji wymiany.”
Obserwator Crypto CryptoMedication opublikował zdjęcie błędu.
Developing issue. Potentially very serious with serious implications: https://t.co/KhSjQ0bjCG
— CryptoMed (@CryptoMedicated) June 28, 2018
OKEx jest bezpieczna
Druga największa na świecie giełda pod względem obrotów, OKEx, zamieściła oświadczenie dotyczące błędu. Giełda poinformowała, że przeprowadziła serię testów, w chwili kiedy została powiadomiona o luce przez SlowMist, po czym stwierdziła, że OKEx nie jest „narażony na tę lukę”.
We confirm that OKEx is SAFE from the vulnerability found by @SlowMist_Team regarding USDT deposit. Please rest assured that your assets are safe and secure with us.https://t.co/0FsPxQXe1P pic.twitter.com/VQtLID0kMD
— OKEx (@OKEx_) June 28, 2018
Według CryptoMedication, możliwość podwójnego wydawania środków ma poważne konsekwencje, ponieważ:
„luka mogła być wykorzystywana wielokrotnie”.
Crypto Medication dodaje, że „wydaje się być problemem wymiany … bardziej niż kwestią Tether …”
Ostanie dodrukowanie Tether
W tym tygodniu Tether wydał 250 milionów nowych tokenów, które w założeniu mają mieć pełne pokrycie w dolarze Amerykańskim. Pod koniec marca Tether wydał 300 milionów tokenów, co doprowadziło do niewielkiego wzrostu cen Bitcoin (BTC). W ostatnim czasie 25.06.2018 pojawił się raport, w którym badacze z University of Texas stwierdzili, że USDT został wykorzystany jako instrument do manipulacji cenami BTC w 2017 roku. Odnaleziona luka może mieć poważne konsekwencje rynkowe ponieważ stablecoin odgrywa istotną rolę dla płynności rynku.
