Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Coinbase betaalt tienduizend dollar voor door Nederlandse student gevonden bug

Coinbase heeft een beloning van 10.000 dollar uitbetaald voor een bug die is gevonden door de Nederlandse student Jesse Lakerveld. De bug maakte het mogelijk om grote hoeveelheden ether op de exchange te verzamelen. De beloning werd gend door het bedrijf waar Lakerveld werkt.

In de beschrijving van de bug op bugbountyplatform HackerOne, die sinds woensdag openbaar is, staat dat vereist is om eerst een smart contract aan te maken met daarin verschillende Coinbase-wallets. Daarvan moet n wallet ongeldig zijn. Door ether naar dit contract over te maken en vervolgens het contract uit te voeren om ether naar de wallets over te maken, bleek dat deze transactie uiteindelijk faalde door het ongeldige adres. Lakerveld kwam er samen met collega's achter dat de ether echter wel bij Coinbase was aangekomen, ondanks dat het uitvoeren van het contract uiteindelijk was mislukt. De transactie is online in te zien.

Hij schrijft dat hij erin slaagde om de bug te reproduceren. Volgens de beschrijving was het mogelijk om het contract steeds opnieuw uit te voeren en op die manier grote hoeveelheden ether te 'verdienen'. Coinbase schrijft dat een analyse uitwees dat er geen misbruik van het lek was gemaakt. De bug werd op 27 december bij Coinbase gemeld, waarna deze op 26 januari de status 'opgelost' kreeg. Coinbase claimt dat de bug 'binnen enkele uren' was opgelost. De exchange koos voor een beloning van omgerekend  8153 euro omdat de bug een 'aanzienlijke manipulatie van tegoeden' mogelijk maakte.

Update, 22.3: De tekst en de titel zijn aangepast om weer te geven dat de beloning niet door Lakerveld zelf is gend, zoals hij in de reacties stelt. Het geld is op rekening van VI Company gestort.

Door

Nieuwsredacteur

46 Linkedin Google+

Submitter: JesseL

Reacties (46)

Wijzig sortering
Super tof om mijn eigen artikel op tweakers te zien! :D
Hoeveel tijd was je kwijt met het vinden/bevestigen en documenteren?
Totaal heeft het over de paar weken ongeveer 8 uur gekost. Wel belangrijk om erbij te melden dat ik dit niet compleet alleen heb gedaan, zonder mn collegas bij VI Company had ik er nooit uitgekomen!
Hoop dat je de beloning dan ook evenredig met ze gaat delen :9

Vind het eigenlijk behoorlijk mee vallen qua tijd, maar misschien zou dat minder zijn als we de tijd van je collega's er allemaal bij optellen. Al lijkt mij de grootste caviat het vinden van de bug, reproduceren en documenteren is dan eigenlijk niet zo ingewikkeld meer.
Het bedrag van $10.000 dollar is inderdaad niet op mijn rekening gestort was het maar zo een feest :P .
Het bedrag is op de naam VI Company opgenomen en die regelt de rest!
Misschien zou het artikel hierop aangepast moeten worden, is toch wel iets anders dan dat het jou persoonlijk 10k oplevert zoals de kop boven artikel stelt :) Net zoals jij het leuk vind trouwens om je 'eigen' artikel te lezen, is het voor ons 'normale gebruikers' ook leuk om via de comments interactie te kunnen hebben met de hoofdpersoon van het artikel dus een dikke _/-\o_
ja dat blijft toch wel een van de leukste dingen van tweakers, die interactie.
Dan neem ik aan dat het geld ook verdeeld moest worden of is er later geregeld dat jullie per persoon dat bedrag kregen? Ik gok het eerste, want jij was de aandrager van het lek.
Jesse heeft er voor gekozen om de bounty met heel VI Company te delen. (Held _/-\o_ )
Gefeliciteerd VI Company en in het bijzonder JesseL :)
Mooie actie en helemaal goed opgelost door er geen misbruik van te maken maar het te melden via de daartoe bestemde wegen. Doet jouw en het bedrijf waar je werkt veel eer aan toekomen hierdoor. _/-\o_
(Dit soort mensen vind je steeds minder. Ben blij dat er nog mensen met een goed hart bestaan.)

Geniet allemaal van de beloning. Het bedrijf zal vast wel een leuke manier vinden om dit te besteden in jullie voordeel :*)
Voordeel van het bedrijf is dat het weer voor investeringen gebruikt kan worden, wat dus uiteindelijk belastingvrij voor de betreffende medewerker gebruikt kan worden in de vorm van een opleiding oud. Veel beter dan de helft in leveren als je het in persoon krijgt
juist, precies mijn punt :)
Een mooie prestatie (ook van je collega's) en een mooie beloning! Gefeliciteerd!
Ik vind dat je best trots mag zijn! Ik gebruik coinbase al een jaar ofzo en het werkt beter dan de ING :)
Waarom is de moderatie gefixeerd? Ik wilde graag een +3 geven want ik vind het echt debiel om te zien dat ze je hier een off topic of -1 voor modereren.

[Reactie gewijzigd door InsanelyHack op 23 maart 2018 00:34]

Netjes!

Als ie slim is laat ie t in crypto uitbetalen, anders bijft er ong 50,- over na belastingen en bankkosten buitenland etc. :D
Coinbase uitbetaling naar bank kost 0,15.
Belasting is 0 euro, vermogen tot 30.000 betaal je niets over.

Valt dus wel mee qua kosten. ;)

[Reactie gewijzigd door xDiglett op 21 maart 2018 18:40]

Het gaat niet over belastbaar vermogen, maar inkomstenbelasting. Die moet je weldegelijk betalen (of je hem nou kan omzeilen of niet).

Dit zijn gewoon belastbare inkomsten. Deze moeten aangegeven worden, en hierover moet belasting betaald worden. Zie o.a. belastingdienst.nl over inkomsten buiten loondienst
Inkomsten belasting betaal je hoe dan ook, ook als je betaald krijgt in een valuta anders dan de euro.
Coinbase uitbetaling naar bank kost 0,15.
Dat zou erg dom zijn, want dan weten ze waar het naartoe gaat. Beter neem je je ETH gewoon weer op en verplaats je het naar een exchange waar je het anoniem om kunt zetten in Monero oid.

.edit: @mark-k oh haha, ik dacht dat er bedoeld werd dat ze het beter hadden kunnen jatten ;).

Ik vraag me trouwens af of dit niet gewoon onder beloning voor arbeid (en dus inkomsten) valt?

[Reactie gewijzigd door .oisyn op 21 maart 2018 18:57]

Ik denk niet dat hij de 'bug-ETH' mag houden van coinbase, dit ging gewoon over zijn 10k beloning.

Edit: ja is gewoon beloning voor arbeid dus moet gewoon inkomstenbelasting voor betaald worden. Ook als je het in crypto laat uitbetalen trouwens.

[Reactie gewijzigd door mark-k op 21 maart 2018 19:14]

Het zou ook als een gift geclassificeerd kunnen worden. Vaak wordt er namelijk zonder medeweten van een bedrijf gezocht naar bugs - en wordt alleen contact opgenomen als iets is gevonden. Dan is er nl. geen sprake geweest van het inhuren van personeel voor een prestatie (vind een bug).

[Reactie gewijzigd door Chrotenise op 22 maart 2018 07:38]

Euhm. Buitenlands inkomen wat vrijgesteld is van belastingen?
Euhm, dat is alleen als je er in het buitenland belasting over hebt betaald. Bovendien is het arbeid niet verricht in het buitenland, je levert effectief gewoon een dienst.
O wacht, ik lever maar in baas een dienst door werk voor hem te verzetten, wel in NL maar. Kom maar op met die bruto betaling!

Het is gewoon arbeid inkomsten, f dat nou in NL, BE of zwahilli is, je bent Nederlandse ingezetene, en betaalt dus hier inkomstenbelasting.

Dividend belasting is in het bron land, waar vaak verdragen voor zijn tussen landen om dubbele heffing te voorkomen (anders mag je in NL nog een keer aftikken)
Kom maar op met die bruto betaling!
Wait, what? Waaruit trek je in hemelsnaam de conclusie dat ik bedoel dat je voor diensten geen inkomstenbelasting hoeft te betalen? :D

Mijn punt is dat als je vanuit NL een dienst levert in het buitenland, dat over het algemeen in NL belast wordt.

[Reactie gewijzigd door .oisyn op 22 maart 2018 18:15]

haha mijn leesfout dan ;)

Maar het is dus gewoon arbeid, of je dat dus voor een NL klant of voor een chinees doet, je blijft een nederlandse rechtspersoon die hier dus belasting betaalt.
Uiteraard, maar daar is uiteraard wel wat voor te regelen.
Buitenlandse GIFT van buiten de EU is vrijgesteld van erf-belasting. Eenmaal hier betaal je alleen 1,2 vermogensbelasting over alles boven 25.000
en wat dacht je van inkomstenbelasting? O wacht, crypto? Belasting ontduiking dus..... Hij staat met naam en toenaam op het internet, en dus ook spoedig bij onze vrienden van het blauwe brieven kantoor ;)
Crypto valt gewoon onder vermogen en dus ook belast.
Tot 30.000 euro dus niet.
Op zich hebben we democratisch gekozen dat we ouderen willen verzorgen, dat we snelwegen willen onderhouden, dat we chronisch zieken een uitkering geven. Die dingen kosten geld. Belastingontduiking is best kortzichtig en asociaal h.
''De exchange koos voor een beloning van omgerekend 8153 euro omdat de bug een 'aanzienlijke manipulatie van tegoeden' mogelijk maakte.''

Een karige beloning als je bedenkt hoeveel geld misbruik van deze bug had kunnen opleveren...

Ach, toch aardig van ze!
Zeker, ze hadden heel coinbase leeg kunnen harken..
Zeker, ze hadden heel coinbase leeg kunnen harken..
Beetje vergelijkbaar met MTGOX was ook zon soort bug.
denk dat je met het instorten van de cryptomarkt meer had verloren , dan gewonnen.
de coins waren er niet echt in de block chain maar kwamen wel op de exchange , dat is gevaarlijk.
meer ruggespraak met de blockchain als exchange is dus wel een vereiste hier!
hoeveel exchanges hebben verglijkbare bugs?
vooral met ether vanwege de turing complete status.
het is toch geen onaardig bedrag... Ik vind het altijd vreemd dat sommige mensen zeggen 'goh hij had ook gewoon de misdadiger uit kunnen hangen en veel meer kunnen stelen'. Voor de meeste mensen is dat hopelijk geen optie.
Het is een belachelijk laag bedrag voor het reporten van een bug die ze in de miljoenen had kunnen kosten ja, als iemand zonder het zelfs maar te proberen heeft kunnen vinden, had iemand met minder goede bedoelingen het ook kunnen vinden, en dan is het wel handig als je bug bounty reward iets hoger is dan 8000 euro ja. Wie weet is er al wel iemand bezig geweest, hoeven ze niet persee door te hebben gehad.
Wel een gierige beloning zeg voor openbaar maken van een bug van deze omvang.
Dit had ze in de miljoenen kunnen kosten, en dan ben ik nog zuinig....
Dat zien andere bedrijven zoals Google, Facebook, Microsoft, Intel etc ook in - die hebben bug bounties van wel $250.000. En ook niet alleen in software van hunzelf, maar ook die ze gebruiken, bijv. linux en co.

[Reactie gewijzigd door YopY op 21 maart 2018 20:10]

Je mag blij zijn dat je wat krijgt. Ze hadden ook kunnen zeggen bedankt en tot ziens.
Dat had iemand anders ook over hun kunnen denken, konden ze gedag zeggen tegen miljoenen dollars, daarvoor moet een bug-bounty dus in verhouding staan met de gevonden bug en de schade die die had kunnen/heeft veroorzaakt.
dat vind jij, maar zoals ik zeg een vindersloon is geen verplichting, het is een tegemoetkoming.... Waarom moet altijd alles maar weer beloond worden, er bestaat ook zoiets als "het goede doel" of de gemeenschap helpen zonder er zelf beter van te worden, dat is blijkbaar erg lastig tegenwoordig :(
Omdat je moet snappen dat niet iedereen in de wereld goede bedoelingen heeft, klinkt niet leuk misschien maar zo is het nou eenmaal.
Als ik het goed begrijp is het probleem bij Coinbase en niet bij Ethereum. Maar ik vraag me dan nog steeds af wat precies fout ging. Komt er op wallets van Coinbase eth te staan die er niet hoort te staan? Dat zou toch onmogelijk moeten zijn? Of klopt hun eigen balans niet helemaal meer, een belans die los staat van de ethereum chain oid?
Het geld dat er wl terecht terwijl de transactie faalt kan toch niet van niks uit komen?

edit: maar even de hackerone beschrijving gelezen, wel zo netjes. Ze hanteren dus inderdaad een soort eigen balans. Zijn er niet al zoveel services die van wallets het bedrag kunnen checken? Is het wellicht handiger als Coinbase dat deel dan niet zelf ontwikkelt?

[Reactie gewijzigd door afraca op 22 maart 2018 09:24]

Dus in de code valt ook nog wat te minen :9

Op dit item kan niet meer gereageerd worden.


Apple iPhone X Google Pixel 2 XL LG W7 Samsung Galaxy S9 Google Pixel 2 Far Cry 5 Microsoft Xbox One X Apple iPhone 8

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank en Intermediair de Persgroep Online Services B.V. © 1998 - 2018 Hosting door True

*