Злоумышленник вывел с биржи BitoPro 7 млн XRP через уязвимость частичного платежа
Неизвестный пользователь тайваньской биржи BitoPro сфальсифицировал депозит в криптовалюте XRP и вывел с площадки 7 млн монет ($2,17 млн). Механизм работы этого эксплойта подробно описала биржа Bitrue.
In response to this attack, we’ve created this thread to raise awareness for [XRP Partial Payment Vulnerability] and its risks. We encourage all platforms who support $XRP to look into it thoroughly! @WietseWind @Curis_Wang https://t.co/weCqtxmRLU
— Bitrue (@BitrueOfficial) 2 мая 2019 г.
Злоумышленник заявил об отправке 330 000 XRP, но в действительности передал только 0,003255 XRP с отметкой частичного платежа «tfPartialPayment».
«Биржи, которые не так давно реализовали поддержку XRP, не знают о существовании частичного платежа. Они используют неверный параметр «Amount» для записи платежа. Всегда нужно использовать параметр «DeliveredAmount»», — подчеркивает Bitrue.
По данным XRPScan, злоумышленник отправил на адрес кошелька BitoPro множество платежей, значение которых в среднем не превышало 0,003255 XRP. Также в реестре отображены две транзакции по 3 млн XRP, которые были успешно зачислены биржей на счет.
В общей сложности с 8 марта по 2 мая неизвестные осуществили 148 попыток проведения таких транзакций. Одна из них поступила на собственный адрес Bitrue, но была успешно заблокирована системой биржи.
Напомним, в феврале из-за функции проверки правописания seed-фраз у пользователя десктоп-кошелька Coinomi были украдены $70 000 в криптовалюте.