Злоумышленник вывел с биржи BitoPro 7 млн XRP через уязвимость частичного платежа

Неизвестный пользователь тайваньской биржи BitoPro сфальсифицировал депозит в криптовалюте XRP и вывел с площадки 7 млн монет ($2,17 млн). Механизм работы этого эксплойта подробно описала биржа Bitrue.

In response to this attack, we’ve created this thread to raise awareness for [XRP Partial Payment Vulnerability] and its risks. We encourage all platforms who support $XRP to look into it thoroughly! @WietseWind @Curis_Wang https://t.co/weCqtxmRLU

— Bitrue (@BitrueOfficial) 2 мая 2019 г.

Злоумышленник заявил об отправке 330 000 XRP, но в действительности передал только 0,003255 XRP с отметкой частичного платежа «tfPartialPayment».

«Биржи, которые не так давно реализовали поддержку XRP, не знают о существовании частичного платежа. Они используют неверный параметр «Amount» для записи платежа. Всегда нужно использовать параметр «DeliveredAmount»», — подчеркивает Bitrue.

По данным XRPScan, злоумышленник отправил на адрес кошелька BitoPro множество платежей, значение которых в среднем не превышало 0,003255 XRP. Также в реестре отображены две транзакции по 3 млн XRP, которые были успешно зачислены биржей на счет.

В общей сложности с 8 марта по 2 мая неизвестные осуществили 148 попыток проведения таких транзакций. Одна из них поступила на собственный адрес Bitrue, но была успешно заблокирована системой биржи.

Напомним, в феврале из-за функции проверки правописания seed-фраз у пользователя десктоп-кошелька Coinomi были украдены $70 000 в криптовалюте.

Подписывайтесь на новости ForkLog в Facebook!