Токенизированные доллары USDT, эмитируемые компанией Tether, могут содержать логическую ошибку, которая позволяет пользователям осуществлять переводы токенов без списания средств с их счетов. Об этом
сообщила китайская компания SlowMist, занимающаяся поиском уязвимостей в экосистеме блокчейна.
По её информации, когда биржа криптовалют обрабатывает депозит в USDT, она может неверно верифицировать корректность транзакции и посчитать её успешной, в то время как в действительности списание средств со счёта отправителя не произойдёт. Таким образом, инициатор транзакции получит возможность использовать зачисленные USDT для торговли на бирже, сохранив при этом собственные токены.
SlowMist также утверждает, что реальная атака с использованием этой уязвимости уже произошла и приводит данные транзакции.
Хотя других подтверждений наличия критической уязвимости в токенах Tether пока нет, на оповещение отреагировала биржа OKEx, которая
сообщила, что осуществила проверку и не выявила проблему на своей платформе.
«Пожалуйста, будьте уверены, что с нами ваши деньги в безопасности», - пишет OKEx. «Как только нам стало известно о наличии уязвимости, мы немедленно связались с SlowMist, чтобы глубже понять проблему и осуществить проверку. Мы готовы подтвердить, что эта уязвимость не затрагивает нашу платформу».
UPD: Как
отмечает
пользователь Reddit под ником dacoinminster, утверждающий, что он является основателем протокола Omni, на котором базируется Tether, он разработал свою систему таким образом, чтобы повторное расходование активов в ней требовало повторного расходования биткоинов. По его словам, описанная проблема состоит в том, что биржа криптовалют приняла первую транзакцию со статусом “false” за корректную, после чего одобрила ещё одну транзакцию, на этот раз имевшую статус “true”. «Если я чего-то не упускаю, то проблема заключается исключительно в неправильной интеграции USDT конкретной биржей», - пишет он.
Разработчики Omni также разместили в своём репозитории на GitHub
инструкцию, которая должна обезопасить биржи от подобных инцидентов в дальнейшем.