Тайваньская биржа BitoPro, недавно добавившая поддержку XRP, не учла некоторые особенности функционирования реестра криптовалюты, из-за чего злоумышленник смог сфальсифицировать депозит, чтобы затем продать зачисленные таким образом монеты. Предположительно, в результате этой атаки убытки биржи составили 7 млн XRP ($2,17 млн). Чтобы повысить осведомлённость сообщества и, в частности, других торговых платформ, биржа Bitrue опубликовала серию твитов, в которых объяснила механизм работы эксплойта. Чтобы проиллюстрировать «уязвимость частичного платежа», Bitrue привела пример транзакции, где пользователь заявляет об отправке 330 000 XRP, когда в действительности он передаёт всего 0,003255 XRP, сопровождая её отметкой «tfPartialPayment», свидетельствующей о том, что оплата намеренно осуществляется частично. «Биржи (особенно те из них, которые реализовали поддержку XRP недавно) не знают о существовании “частичного платежа”. Они используют неверный параметр “Amount” для записи платежа. Всегда нужно использовать параметр “DeliveredAmount”», - обращает внимание Bitrue. Согласно обозревателю реестра XRPScan, злоумышленник действительно отправил на адрес кошелька BitoPro множество платежей, значение которых в среднем не превышало 0,003255 XRP. На вкладке транзакций, однако, отображаются другие суммы, включая две по 3 млн XRP, которые и были успешно зачислены биржей на счёт.
Серьезный вроде проект, а тоже допускает ошибки. Доверия криптовалютному рынку такие новости не добавляют.
а ведь по сути подобной уязвимостью человек со стороны, не сильно разбирающийся вряд ли бы смог воспользоваться - и почему про нее вообще до этого новостей не было.
