Coinbase betaalt tienduizend dollar voor door Nederlandse student gevonden bug

Coinbase heeft een beloning van 10.000 dollar uitbetaald voor een bug die is gevonden door de Nederlandse student Jesse Lakerveld. De bug maakte het mogelijk om grote hoeveelheden ether op de exchange te verzamelen. De beloning werd geïnd door het bedrijf waar Lakerveld werkt.

In de beschrijving van de bug op bugbountyplatform HackerOne, die sinds woensdag openbaar is, staat dat vereist is om eerst een smart contract aan te maken met daarin verschillende Coinbase-wallets. Daarvan moet één wallet ongeldig zijn. Door ether naar dit contract over te maken en vervolgens het contract uit te voeren om ether naar de wallets over te maken, bleek dat deze transactie uiteindelijk faalde door het ongeldige adres. Lakerveld kwam er samen met collega's achter dat de ether echter wel bij Coinbase was aangekomen, ondanks dat het uitvoeren van het contract uiteindelijk was mislukt. De transactie is online in te zien.

Hij schrijft dat hij erin slaagde om de bug te reproduceren. Volgens de beschrijving was het mogelijk om het contract steeds opnieuw uit te voeren en op die manier grote hoeveelheden ether te 'verdienen'. Coinbase schrijft dat een analyse uitwees dat er geen misbruik van het lek was gemaakt. De bug werd op 27 december bij Coinbase gemeld, waarna deze op 26 januari de status 'opgelost' kreeg. Coinbase claimt dat de bug 'binnen enkele uren' was opgelost. De exchange koos voor een beloning van omgerekend 8153 euro omdat de bug een 'aanzienlijke manipulatie van tegoeden' mogelijk maakte.

Update, 22.3: De tekst en de titel zijn aangepast om weer te geven dat de beloning niet door Lakerveld zelf is geïnd, zoals hij in de reacties stelt. Het geld is op rekening van VI Company gestort.

Lees meer

Nieuwste IT Banen

Deel je skills voor jouw droombaan Meld je aan!

IT trainingen bij Computrain

Reacties (46)

+1JesseL
21 maart 2018 18:40

Super tof om mijn eigen artikel op tweakers te zien!

+1MarvTheMartian
@JesseL • 21 maart 2018 18:42

Hoeveel tijd was je kwijt met het vinden/bevestigen en documenteren?

+2JesseL
@MarvTheMartian • 21 maart 2018 18:45

Totaal heeft het over de paar weken ongeveer 8 uur gekost. Wel belangrijk om erbij te melden dat ik dit niet compleet alleen heb gedaan, zonder mn collegas bij VI Company had ik er nooit uitgekomen!

+1MarvTheMartian
@JesseL • 21 maart 2018 18:49

Hoop dat je de beloning dan ook evenredig met ze gaat delen

Vind het eigenlijk behoorlijk mee vallen qua tijd, maar misschien zou dat minder zijn als we de tijd van je collega's er allemaal bij optellen. Al lijkt mij de grootste caviat het vinden van de bug, reproduceren en documenteren is dan eigenlijk niet zo ingewikkeld meer.

+2JesseL
@MarvTheMartian • 21 maart 2018 18:54

Het bedrag van $10.000 dollar is inderdaad niet op mijn rekening gestort was het maar zo een feest

.
Het bedrag is op de naam VI Company opgenomen en die regelt de rest!

+1MarvTheMartian
@JesseL • 21 maart 2018 19:09

Misschien zou het artikel hierop aangepast moeten worden, is toch wel iets anders dan dat het jou persoonlijk 10k oplevert zoals de kop boven artikel stelt

Net zoals jij het leuk vind trouwens om je 'eigen' artikel te lezen, is het voor ons 'normale gebruikers' ook leuk om via de comments interactie te kunnen hebben met de hoofdpersoon van het artikel dus een dikke $_/-\o_$

+1Origin64
@MarvTheMartian • 22 maart 2018 00:11

ja dat blijft toch wel een van de leukste dingen van tweakers, die interactie.

AnonymousWP

Netwerk en systeembeheer
Security

@JesseL • 21 maart 2018 18:48

Dan neem ik aan dat het geld ook verdeeld moest worden of is er later geregeld dat jullie per persoon dat bedrag kregen? Ik gok het eerste, want jij was de aandrager van het lek.

L01
@AnonymousWP • 21 maart 2018 18:55

Jesse heeft er voor gekozen om de bounty met heel VI Company te delen. (Held $_/-\o_$ )

+1p01ntl3ss
@JesseL • 21 maart 2018 23:24

Gefeliciteerd VI Company en in het bijzonder JesseL

Mooie actie en helemaal goed opgelost door er geen misbruik van te maken maar het te melden via de daartoe bestemde wegen. Doet jouw en het bedrijf waar je werkt veel eer aan toekomen hierdoor. $_/-\o_$
(Dit soort mensen vind je steeds minder. Ben blij dat er nog mensen met een goed hart bestaan.)

Geniet allemaal van de beloning. Het bedrijf zal vast wel een leuke manier vinden om dit te besteden in jullie voordeel

+1aadje93
@p01ntl3ss • 22 maart 2018 07:41

Voordeel van het bedrijf is dat het weer voor investeringen gebruikt kan worden, wat dus uiteindelijk belastingvrij voor de betreffende medewerker gebruikt kan worden in de vorm van een opleiding oud. Veel beter dan de helft in leveren als je het in persoon krijgt

0p01ntl3ss
@aadje93 • 24 maart 2018 12:25

juist, precies mijn punt

+1KopjeThee
@JesseL • 21 maart 2018 19:10

Een mooie prestatie (ook van je collega's) en een mooie beloning! Gefeliciteerd!

0InsanelyHack
@JesseL • 23 maart 2018 00:33

Ik vind dat je best trots mag zijn! Ik gebruik coinbase al een jaar ofzo en het werkt beter dan de ING

Waarom is de moderatie gefixeerd? Ik wilde graag een +3 geven want ik vind het echt debiel om te zien dat ze je hier een off topic of -1 voor modereren.

[Reactie gewijzigd door InsanelyHack op 23 maart 2018 00:34]

poor Leno
21 maart 2018 18:35

Netjes!

Als ie slim is laat ie t in crypto uitbetalen, anders bijft er ong 50,- over na belastingen en bankkosten buitenland etc.

xDiglett
@poor Leno • 21 maart 2018 18:40

Coinbase uitbetaling naar bank kost €0,15.
Belasting is 0 euro, vermogen tot 30.000 betaal je niets over.

Valt dus wel mee qua kosten.

[Reactie gewijzigd door xDiglett op 21 maart 2018 18:40]

+2Niet Henk
@xDiglett • 21 maart 2018 19:02

Het gaat niet over belastbaar vermogen, maar inkomstenbelasting. Die moet je weldegelijk betalen (of je hem nou kan omzeilen of niet).

Dit zijn gewoon belastbare inkomsten. Deze moeten aangegeven worden, en hierover moet belasting betaald worden. Zie o.a. belastingdienst.nl over inkomsten buiten loondienst

+1cotix
@Niet Henk • 21 maart 2018 21:10

Inkomsten belasting betaal je hoe dan ook, ook als je betaald krijgt in een valuta anders dan de euro.

.oisyn

cryptocurrency
Netwerk en systeembeheer

@xDiglett • 21 maart 2018 18:48

Coinbase uitbetaling naar bank kost €0,15.

Dat zou erg dom zijn, want dan weten ze waar het naartoe gaat. Beter neem je je ETH gewoon weer op en verplaats je het naar een exchange waar je het anoniem om kunt zetten in Monero oid.

.edit: @mark-k oh haha, ik dacht dat er bedoeld werd dat ze het beter hadden kunnen jatten

.

Ik vraag me trouwens af of dit niet gewoon onder beloning voor arbeid (en dus inkomsten) valt?

[Reactie gewijzigd door .oisyn op 21 maart 2018 18:57]

+1mark-k
@.oisyn • 21 maart 2018 18:54

Ik denk niet dat hij de 'bug-ETH' mag houden van coinbase, dit ging gewoon over zijn 10k beloning.

Edit: ja is gewoon beloning voor arbeid dus moet gewoon inkomstenbelasting voor betaald worden. Ook als je het in crypto laat uitbetalen trouwens.

[Reactie gewijzigd door mark-k op 21 maart 2018 19:14]

+2Chrotenise

@mark-k • 22 maart 2018 07:37

Het zou ook als een gift geclassificeerd kunnen worden. Vaak wordt er namelijk zonder medeweten van een bedrijf gezocht naar bugs - en wordt alleen contact opgenomen als iets is gevonden. Dan is er nl. geen sprake geweest van het inhuren van personeel voor een prestatie (vind een bug).

[Reactie gewijzigd door Chrotenise op 22 maart 2018 07:38]

0supersnathan94
@mark-k • 21 maart 2018 19:55

Euhm. Buitenlands inkomen wat vrijgesteld is van belastingen?

.oisyn

cryptocurrency
Netwerk en systeembeheer

@supersnathan94 • 21 maart 2018 20:20

Euhm, dat is alleen als je er in het buitenland belasting over hebt betaald. Bovendien is het arbeid niet verricht in het buitenland, je levert effectief gewoon een dienst.

0aadje93
@.oisyn • 22 maart 2018 07:37

O wacht, ik lever maar in baas een dienst door werk voor hem te verzetten, wel in NL maar. Kom maar op met die bruto betaling!

Het is gewoon arbeid inkomsten, f dat nou in NL, BE of zwahilli is, je bent Nederlandse ingezetene, en betaalt dus hier inkomstenbelasting.

Dividend belasting is in het bron land, waar vaak verdragen voor zijn tussen landen om dubbele heffing te voorkomen (anders mag je in NL nog een keer aftikken)

.oisyn

cryptocurrency
Netwerk en systeembeheer

@aadje93 • 22 maart 2018 08:48

Kom maar op met die bruto betaling!

Wait, what? Waaruit trek je in hemelsnaam de conclusie dat ik bedoel dat je voor diensten geen inkomstenbelasting hoeft te betalen?

Mijn punt is dat als je vanuit NL een dienst levert in het buitenland, dat over het algemeen in NL belast wordt.

[Reactie gewijzigd door .oisyn op 22 maart 2018 18:15]

0aadje93
@.oisyn • 22 maart 2018 18:07

haha mijn leesfout dan

Maar het is dus gewoon arbeid, of je dat dus voor een NL klant of voor een chinees doet, je blijft een nederlandse rechtspersoon die hier dus belasting betaalt.

0supersnathan94
@.oisyn • 22 maart 2018 11:03

Uiteraard, maar daar is uiteraard wel wat voor te regelen.

0ZeKritik
@supersnathan94 • 26 maart 2018 17:41

Buitenlandse GIFT van buiten de EU is vrijgesteld van erf-belasting. Eenmaal hier betaal je alleen 1,2 vermogensbelasting over alles boven 25.000

0aadje93
@xDiglett • 21 maart 2018 19:39

en wat dacht je van inkomstenbelasting? O wacht, crypto? Belasting ontduiking dus..... Hij staat met naam en toenaam op het internet, en dus ook spoedig bij onze vrienden van het blauwe brieven kantoor

JustFogMaxi
@poor Leno • 21 maart 2018 18:41

Crypto valt gewoon onder vermogen en dus ook belast.

0Dark_man
@JustFogMaxi • 21 maart 2018 22:17

Tot 30.000 euro dus niet.

0aadje93
@Dark_man • 22 maart 2018 07:38

Inkomsten wel

gast
@poor Leno • 22 maart 2018 07:58

Op zich hebben we democratisch gekozen dat we ouderen willen verzorgen, dat we snelwegen willen onderhouden, dat we chronisch zieken een uitkering geven. Die dingen kosten geld. Belastingontduiking is best kortzichtig en asociaal hè.

+1Beer Buntenbach
21 maart 2018 18:37

''De exchange koos voor een beloning van omgerekend 8153 euro omdat de bug een 'aanzienlijke manipulatie van tegoeden' mogelijk maakte.''

Een karige beloning als je bedenkt hoeveel geld misbruik van deze bug had kunnen opleveren...

Ach, toch aardig van ze!

xDiglett
@Beer Buntenbach • 21 maart 2018 18:42

Zeker, ze hadden heel coinbase leeg kunnen harken..

+1bluegoaindian
@xDiglett • 22 maart 2018 03:21

Zeker, ze hadden heel coinbase leeg kunnen harken..

Beetje vergelijkbaar met MTGOX was ook zon soort bug.
denk dat je met het instorten van de cryptomarkt meer had verloren , dan gewonnen.
de coins waren er niet echt in de block chain maar kwamen wel op de exchange , dat is gevaarlijk.
meer ruggespraak met de blockchain als exchange is dus wel een vereiste hier!
hoeveel exchanges hebben verglijkbare bugs?
vooral met ether vanwege de turing complete status.

Finraziel
@Beer Buntenbach • 21 maart 2018 21:43

het is toch geen onaardig bedrag... Ik vind het altijd vreemd dat sommige mensen zeggen 'goh hij had ook gewoon de misdadiger uit kunnen hangen en veel meer kunnen stelen'. Voor de meeste mensen is dat hopelijk geen optie.

+1Vlizzjeffrey
@Finraziel • 21 maart 2018 21:55

Het is een belachelijk laag bedrag voor het reporten van een bug die ze in de miljoenen had kunnen kosten ja, als iemand zonder het zelfs maar te proberen heeft kunnen vinden, had iemand met minder goede bedoelingen het ook kunnen vinden, en dan is het wel handig als je bug bounty reward iets hoger is dan 8000 euro ja. Wie weet is er al wel iemand bezig geweest, hoeven ze niet persee door te hebben gehad.

+1Vlizzjeffrey
21 maart 2018 19:00

Wel een gierige beloning zeg voor openbaar maken van een bug van deze omvang.
Dit had ze in de miljoenen kunnen kosten, en dan ben ik nog zuinig....

+1YopY
@Vlizzjeffrey • 21 maart 2018 20:10

Dat zien andere bedrijven zoals Google, Facebook, Microsoft, Intel etc ook in - die hebben bug bounties van wel $250.000. En ook niet alleen in software van hunzelf, maar ook die ze gebruiken, bijv. linux en co.

[Reactie gewijzigd door YopY op 21 maart 2018 20:10]

+1aadje93
@Vlizzjeffrey • 22 maart 2018 07:42

Je mag blij zijn dat je wat krijgt. Ze hadden ook kunnen zeggen bedankt en tot ziens.

0Vlizzjeffrey
@aadje93 • 22 maart 2018 11:04

Dat had iemand anders ook over hun kunnen denken, konden ze gedag zeggen tegen miljoenen dollars, daarvoor moet een bug-bounty dus in verhouding staan met de gevonden bug en de schade die die had kunnen/heeft veroorzaakt.

0aadje93
@Vlizzjeffrey • 22 maart 2018 18:04

dat vind jij, maar zoals ik zeg een vindersloon is geen verplichting, het is een tegemoetkoming.... Waarom moet altijd alles maar weer beloond worden, er bestaat ook zoiets als "het goede doel" of de gemeenschap helpen zonder er zelf beter van te worden, dat is blijkbaar erg lastig tegenwoordig

0Vlizzjeffrey
@aadje93 • 22 maart 2018 18:20

Omdat je moet snappen dat niet iedereen in de wereld goede bedoelingen heeft, klinkt niet leuk misschien maar zo is het nou eenmaal.

afraca
22 maart 2018 09:22

Als ik het goed begrijp is het probleem bij Coinbase en niet bij Ethereum. Maar ik vraag me dan nog steeds af wat precies fout ging. Komt er op wallets van Coinbase eth te staan die er niet hoort te staan? Dat zou toch onmogelijk moeten zijn? Of klopt hun eigen balans niet helemaal meer, een belans die los staat van de ethereum chain oid?
Het geld dat er wél terecht terwijl de transactie faalt kan toch niet van niks uit komen?

edit: maar even de hackerone beschrijving gelezen, wel zo netjes. Ze hanteren dus inderdaad een soort eigen balans. Zijn er niet al zoveel services die van wallets het bedrag kunnen checken? Is het wellicht handiger als Coinbase dat deel dan niet zelf ontwikkelt?

[Reactie gewijzigd door afraca op 22 maart 2018 09:24]

0M.l.
22 maart 2018 10:28

Dus in de code valt ook nog wat te minen

Op dit item kan niet meer gereageerd worden.

Cookies op Tweakers

Coinbase betaalt tienduizend dollar voor door Nederlandse student gevonden bug

Lees meer

Nieuwste IT Banen

IT trainingen bij Computrain

Reacties (46)

Sorteer op:

Weergave: