你可能错过了成为以太坊百万富翁的大好机会！

一个名为“以太坊账户余额操纵”的主要漏洞允许您通过执行一系列步骤访问钱包中无**的以太，这些步骤涉及执行错误交易或错误钱包地址的智能合约。但是机会已经消失了，因为这个bug现在已经修复了。

戏剧是如何展开的？

去年12月，一家名为VI公司的荷兰金融科技公司发现并报告了Coinbase的漏洞。美国最大的加密货币交易所（cryptocurrency exchange）迅速采取了行动，但到1月下旬，它花了将近一个月的时间才修复了这个漏洞(另请参阅，Coinbase:What Is It and How Do You Use It？）

这家VI公司因坦率地报道了此次发行，获得了Coinbase交易所1万美元的赏金，并公开披露了此次发行。

虫子是怎么允许无**供应的？

以太坊使用智能合约作为其网络的组成部分。在以下场景中，通过智能合约进行资金转移时存在漏洞。

比方说，一个用户使用智能合约在一组多个钱包上分发以太。这个标准练习将导致以太坊网络上的多个事务。如果其中一个中间交易失败，则之前的所有其他交易也将由于智能合约的工作机制而被撤销(另请参见易受黑客攻击的以太坊智能合约：风险为400万美元。）

然而，问题发生在Coinbase账户上，这些交易不会被撤销。这使得一个人可以在他们的平衡中添加无限多的以太。虽然查询Coinbase钱包地址会发现它没有任何以太，但此人的Coinbase钱包会显示代币。

从本质上讲，用户可以使用智能合约来发起资金转移，这种资金转移被分成数百笔交易。如果用户故意在交易结束时设置错误的交易，则所有较早的交易都将被撤销，并将累计的代币金额记入其钱包。

HackerOne列出了VI公司再现问题的以下步骤：

• 设置一个智能合约，其中包含几个有效的Coinbase钱包和一个最终出现故障的钱包，这些钱包在接收资金时总是抛出异常智能合约
• 向智能合约转移适当的资金
• 在不离开智能合约钱包的情况下，开始执行智能合约。它会在Coinbase钱包中加入一定量的乙醚。由于完整的交易将在最后一个钱包失败，所有先前的交易都将撤销，但它们不会在Coinbase帐户上撤销。
• 执行此过程的人现在可以套现，或将所需的以太转移到其他钱包

尽管目前还没有任何关于此漏洞导致的任何重大违规或滥用的报告，但Coinbase已经确认了“意外损失”。Coinbase在摘要中提到，“这个问题是通过改变合同处理逻辑来解决的。对这一问题的分析表明，Coinbase只有意外损失，没有任何攻击企图。”