Coinbase heeft een beloning van 10.000 dollar uitbetaald voor een bug die is gevonden door de Nederlandse student Jesse Lakerveld. De bug maakte het mogelijk om grote hoeveelheden ether op de exchange te verzamelen. De beloning werd geïnd door het bedrijf waar Lakerveld werkt.
In de beschrijving van de bug op bugbountyplatform HackerOne, die sinds woensdag openbaar is, staat dat vereist is om eerst een smart contract aan te maken met daarin verschillende Coinbase-wallets. Daarvan moet één wallet ongeldig zijn. Door ether naar dit contract over te maken en vervolgens het contract uit te voeren om ether naar de wallets over te maken, bleek dat deze transactie uiteindelijk faalde door het ongeldige adres. Lakerveld kwam er samen met collega's achter dat de ether echter wel bij Coinbase was aangekomen, ondanks dat het uitvoeren van het contract uiteindelijk was mislukt. De transactie is online in te zien.
Hij schrijft dat hij erin slaagde om de bug te reproduceren. Volgens de beschrijving was het mogelijk om het contract steeds opnieuw uit te voeren en op die manier grote hoeveelheden ether te 'verdienen'. Coinbase schrijft dat een analyse uitwees dat er geen misbruik van het lek was gemaakt. De bug werd op 27 december bij Coinbase gemeld, waarna deze op 26 januari de status 'opgelost' kreeg. Coinbase claimt dat de bug 'binnen enkele uren' was opgelost. De exchange koos voor een beloning van omgerekend 8153 euro omdat de bug een 'aanzienlijke manipulatie van tegoeden' mogelijk maakte.
Update, 22.3: De tekst en de titel zijn aangepast om weer te geven dat de beloning niet door Lakerveld zelf is geïnd, zoals hij in de reacties stelt. Het geld is op rekening van VI Company gestort.