Coinbase betaalt tienduizend dollar voor door Nederlandse student gevonden bug

Coinbase heeft een beloning van 10.000 dollar uitbetaald voor een bug die is gevonden door de Nederlandse student Jesse Lakerveld. De bug maakte het mogelijk om grote hoeveelheden ether op de exchange te verzamelen. De beloning werd geïnd door het bedrijf waar Lakerveld werkt.

In de beschrijving van de bug op bugbountyplatform HackerOne, die sinds woensdag openbaar is, staat dat vereist is om eerst een smart contract aan te maken met daarin verschillende Coinbase-wallets. Daarvan moet één wallet ongeldig zijn. Door ether naar dit contract over te maken en vervolgens het contract uit te voeren om ether naar de wallets over te maken, bleek dat deze transactie uiteindelijk faalde door het ongeldige adres. Lakerveld kwam er samen met collega's achter dat de ether echter wel bij Coinbase was aangekomen, ondanks dat het uitvoeren van het contract uiteindelijk was mislukt. De transactie is online in te zien.

Hij schrijft dat hij erin slaagde om de bug te reproduceren. Volgens de beschrijving was het mogelijk om het contract steeds opnieuw uit te voeren en op die manier grote hoeveelheden ether te 'verdienen'. Coinbase schrijft dat een analyse uitwees dat er geen misbruik van het lek was gemaakt. De bug werd op 27 december bij Coinbase gemeld, waarna deze op 26 januari de status 'opgelost' kreeg. Coinbase claimt dat de bug 'binnen enkele uren' was opgelost. De exchange koos voor een beloning van omgerekend 8153 euro omdat de bug een 'aanzienlijke manipulatie van tegoeden' mogelijk maakte.

Update, 22.3: De tekst en de titel zijn aangepast om weer te geven dat de beloning niet door Lakerveld zelf is geïnd, zoals hij in de reacties stelt. Het geld is op rekening van VI Company gestort.

Door Sander van Voorst

Nieuwsredacteur

21-03-2018 • 18:29

46 Linkedin

Submitter: JesseL

Reacties (46)

46
46
27
4
0
13
Wijzig sortering
Super tof om mijn eigen artikel op tweakers te zien! :D
Hoeveel tijd was je kwijt met het vinden/bevestigen en documenteren?
Totaal heeft het over de paar weken ongeveer 8 uur gekost. Wel belangrijk om erbij te melden dat ik dit niet compleet alleen heb gedaan, zonder mn collegas bij VI Company had ik er nooit uitgekomen!
Hoop dat je de beloning dan ook evenredig met ze gaat delen :9

Vind het eigenlijk behoorlijk mee vallen qua tijd, maar misschien zou dat minder zijn als we de tijd van je collega's er allemaal bij optellen. Al lijkt mij de grootste caviat het vinden van de bug, reproduceren en documenteren is dan eigenlijk niet zo ingewikkeld meer.
Het bedrag van $10.000 dollar is inderdaad niet op mijn rekening gestort was het maar zo een feest :P .
Het bedrag is op de naam VI Company opgenomen en die regelt de rest!
Misschien zou het artikel hierop aangepast moeten worden, is toch wel iets anders dan dat het jou persoonlijk 10k oplevert zoals de kop boven artikel stelt :) Net zoals jij het leuk vind trouwens om je 'eigen' artikel te lezen, is het voor ons 'normale gebruikers' ook leuk om via de comments interactie te kunnen hebben met de hoofdpersoon van het artikel dus een dikke _/-\o_
ja dat blijft toch wel een van de leukste dingen van tweakers, die interactie.
Dan neem ik aan dat het geld ook verdeeld moest worden of is er later geregeld dat jullie per persoon dat bedrag kregen? Ik gok het eerste, want jij was de aandrager van het lek.
Jesse heeft er voor gekozen om de bounty met heel VI Company te delen. (Held _/-\o_ )
Gefeliciteerd VI Company en in het bijzonder JesseL :)
Mooie actie en helemaal goed opgelost door er geen misbruik van te maken maar het te melden via de daartoe bestemde wegen. Doet jouw en het bedrijf waar je werkt veel eer aan toekomen hierdoor. _/-\o_
(Dit soort mensen vind je steeds minder. Ben blij dat er nog mensen met een goed hart bestaan.)

Geniet allemaal van de beloning. Het bedrijf zal vast wel een leuke manier vinden om dit te besteden in jullie voordeel :*)
Voordeel van het bedrijf is dat het weer voor investeringen gebruikt kan worden, wat dus uiteindelijk belastingvrij voor de betreffende medewerker gebruikt kan worden in de vorm van een opleiding oud. Veel beter dan de helft in leveren als je het in persoon krijgt
juist, precies mijn punt :)
Een mooie prestatie (ook van je collega's) en een mooie beloning! Gefeliciteerd!
Ik vind dat je best trots mag zijn! Ik gebruik coinbase al een jaar ofzo en het werkt beter dan de ING :)
Waarom is de moderatie gefixeerd? Ik wilde graag een +3 geven want ik vind het echt debiel om te zien dat ze je hier een off topic of -1 voor modereren.

[Reactie gewijzigd door InsanelyHack op 23 maart 2018 00:34]

Netjes!

Als ie slim is laat ie t in crypto uitbetalen, anders bijft er ong 50,- over na belastingen en bankkosten buitenland etc. :D
Coinbase uitbetaling naar bank kost €0,15.
Belasting is 0 euro, vermogen tot 30.000 betaal je niets over.

Valt dus wel mee qua kosten. ;)

[Reactie gewijzigd door xDiglett op 21 maart 2018 18:40]

Het gaat niet over belastbaar vermogen, maar inkomstenbelasting. Die moet je weldegelijk betalen (of je hem nou kan omzeilen of niet).

Dit zijn gewoon belastbare inkomsten. Deze moeten aangegeven worden, en hierover moet belasting betaald worden. Zie o.a. belastingdienst.nl over inkomsten buiten loondienst
Inkomsten belasting betaal je hoe dan ook, ook als je betaald krijgt in een valuta anders dan de euro.
Coinbase uitbetaling naar bank kost €0,15.
Dat zou erg dom zijn, want dan weten ze waar het naartoe gaat. Beter neem je je ETH gewoon weer op en verplaats je het naar een exchange waar je het anoniem om kunt zetten in Monero oid.

.edit: @mark-k oh haha, ik dacht dat er bedoeld werd dat ze het beter hadden kunnen jatten ;).

Ik vraag me trouwens af of dit niet gewoon onder beloning voor arbeid (en dus inkomsten) valt?

[Reactie gewijzigd door .oisyn op 21 maart 2018 18:57]

Ik denk niet dat hij de 'bug-ETH' mag houden van coinbase, dit ging gewoon over zijn 10k beloning.

Edit: ja is gewoon beloning voor arbeid dus moet gewoon inkomstenbelasting voor betaald worden. Ook als je het in crypto laat uitbetalen trouwens.

[Reactie gewijzigd door mark-k op 21 maart 2018 19:14]

Het zou ook als een gift geclassificeerd kunnen worden. Vaak wordt er namelijk zonder medeweten van een bedrijf gezocht naar bugs - en wordt alleen contact opgenomen als iets is gevonden. Dan is er nl. geen sprake geweest van het inhuren van personeel voor een prestatie (vind een bug).

[Reactie gewijzigd door Chrotenise op 22 maart 2018 07:38]

Euhm. Buitenlands inkomen wat vrijgesteld is van belastingen?
Euhm, dat is alleen als je er in het buitenland belasting over hebt betaald. Bovendien is het arbeid niet verricht in het buitenland, je levert effectief gewoon een dienst.
O wacht, ik lever maar in baas een dienst door werk voor hem te verzetten, wel in NL maar. Kom maar op met die bruto betaling!

Het is gewoon arbeid inkomsten, f dat nou in NL, BE of zwahilli is, je bent Nederlandse ingezetene, en betaalt dus hier inkomstenbelasting.

Dividend belasting is in het bron land, waar vaak verdragen voor zijn tussen landen om dubbele heffing te voorkomen (anders mag je in NL nog een keer aftikken)
Kom maar op met die bruto betaling!
Wait, what? Waaruit trek je in hemelsnaam de conclusie dat ik bedoel dat je voor diensten geen inkomstenbelasting hoeft te betalen? :D

Mijn punt is dat als je vanuit NL een dienst levert in het buitenland, dat over het algemeen in NL belast wordt.

[Reactie gewijzigd door .oisyn op 22 maart 2018 18:15]

haha mijn leesfout dan ;)

Maar het is dus gewoon arbeid, of je dat dus voor een NL klant of voor een chinees doet, je blijft een nederlandse rechtspersoon die hier dus belasting betaalt.
Uiteraard, maar daar is uiteraard wel wat voor te regelen.
Buitenlandse GIFT van buiten de EU is vrijgesteld van erf-belasting. Eenmaal hier betaal je alleen 1,2 vermogensbelasting over alles boven 25.000
en wat dacht je van inkomstenbelasting? O wacht, crypto? Belasting ontduiking dus..... Hij staat met naam en toenaam op het internet, en dus ook spoedig bij onze vrienden van het blauwe brieven kantoor ;)
Crypto valt gewoon onder vermogen en dus ook belast.
Tot 30.000 euro dus niet.
Op zich hebben we democratisch gekozen dat we ouderen willen verzorgen, dat we snelwegen willen onderhouden, dat we chronisch zieken een uitkering geven. Die dingen kosten geld. Belastingontduiking is best kortzichtig en asociaal hè.
''De exchange koos voor een beloning van omgerekend 8153 euro omdat de bug een 'aanzienlijke manipulatie van tegoeden' mogelijk maakte.''

Een karige beloning als je bedenkt hoeveel geld misbruik van deze bug had kunnen opleveren...

Ach, toch aardig van ze!
Zeker, ze hadden heel coinbase leeg kunnen harken..
Zeker, ze hadden heel coinbase leeg kunnen harken..
Beetje vergelijkbaar met MTGOX was ook zon soort bug.
denk dat je met het instorten van de cryptomarkt meer had verloren , dan gewonnen.
de coins waren er niet echt in de block chain maar kwamen wel op de exchange , dat is gevaarlijk.
meer ruggespraak met de blockchain als exchange is dus wel een vereiste hier!
hoeveel exchanges hebben verglijkbare bugs?
vooral met ether vanwege de turing complete status.
het is toch geen onaardig bedrag... Ik vind het altijd vreemd dat sommige mensen zeggen 'goh hij had ook gewoon de misdadiger uit kunnen hangen en veel meer kunnen stelen'. Voor de meeste mensen is dat hopelijk geen optie.
Het is een belachelijk laag bedrag voor het reporten van een bug die ze in de miljoenen had kunnen kosten ja, als iemand zonder het zelfs maar te proberen heeft kunnen vinden, had iemand met minder goede bedoelingen het ook kunnen vinden, en dan is het wel handig als je bug bounty reward iets hoger is dan 8000 euro ja. Wie weet is er al wel iemand bezig geweest, hoeven ze niet persee door te hebben gehad.
Wel een gierige beloning zeg voor openbaar maken van een bug van deze omvang.
Dit had ze in de miljoenen kunnen kosten, en dan ben ik nog zuinig....
Dat zien andere bedrijven zoals Google, Facebook, Microsoft, Intel etc ook in - die hebben bug bounties van wel $250.000. En ook niet alleen in software van hunzelf, maar ook die ze gebruiken, bijv. linux en co.

[Reactie gewijzigd door YopY op 21 maart 2018 20:10]

Je mag blij zijn dat je wat krijgt. Ze hadden ook kunnen zeggen bedankt en tot ziens.
Dat had iemand anders ook over hun kunnen denken, konden ze gedag zeggen tegen miljoenen dollars, daarvoor moet een bug-bounty dus in verhouding staan met de gevonden bug en de schade die die had kunnen/heeft veroorzaakt.
dat vind jij, maar zoals ik zeg een vindersloon is geen verplichting, het is een tegemoetkoming.... Waarom moet altijd alles maar weer beloond worden, er bestaat ook zoiets als "het goede doel" of de gemeenschap helpen zonder er zelf beter van te worden, dat is blijkbaar erg lastig tegenwoordig :(
Omdat je moet snappen dat niet iedereen in de wereld goede bedoelingen heeft, klinkt niet leuk misschien maar zo is het nou eenmaal.
Als ik het goed begrijp is het probleem bij Coinbase en niet bij Ethereum. Maar ik vraag me dan nog steeds af wat precies fout ging. Komt er op wallets van Coinbase eth te staan die er niet hoort te staan? Dat zou toch onmogelijk moeten zijn? Of klopt hun eigen balans niet helemaal meer, een belans die los staat van de ethereum chain oid?
Het geld dat er wél terecht terwijl de transactie faalt kan toch niet van niks uit komen?

edit: maar even de hackerone beschrijving gelezen, wel zo netjes. Ze hanteren dus inderdaad een soort eigen balans. Zijn er niet al zoveel services die van wallets het bedrag kunnen checken? Is het wellicht handiger als Coinbase dat deel dan niet zelf ontwikkelt?

[Reactie gewijzigd door afraca op 22 maart 2018 09:24]

Dus in de code valt ook nog wat te minen :9

Op dit item kan niet meer gereageerd worden.

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee