In een recente poging tot exploitatie werd geprobeerd om de crypto exchanges Bitfinex en Binance te manipuleren met behulp van Ripple (XRP).
De aanvallen, die niet succesvol waren, werden geïdentificeerd als ‘gedeeltelijke betalingsexploits’.
Verkeerde configuratie
Volgens Paolo Ardoino, de Chief Technology Officer van Bitfinex, probeerde een aanvaller de ‘gedeeltelijke betalingen’ functie van XRP te gebruiken om Bitfinex te exploiteren. Een vermeende transactie van bijna $15 miljard dollar aan XRP van een onbekende portemonnee naar Bitfinex op 14 januari bleek nooit te hebben plaatsgevonden. Deze actie maakte deel uit van de mislukte exploitatiepoging.
De overdracht werd oorspronkelijk gemeld door de blockchain-trackingaccount Whale Alert op X (voorheen Twitter), die meldde dat er een transactie van 25,6 miljard XRP – bijna de helft van de circulerende voorraad van XRP – van een onbekende portemonnee naar Bitfinex was. Whale Alert verwijderde later de post, waarbij werd vermeld dat er “een probleem was met het correct lezen van de Ripple node respons, wat resulteerde in enkele onjuiste posts.”
Ardoino legde uit dat iemand had geprobeerd Bitfinex aan te vallen via een ‘Partial Payments Exploit’. De aanvaller ging ervan uit dat de exchange haar software verkeerd had geconfigureerd om gedeeltelijke betalingen te verwerken. Bij een dergelijke exploit wordt aangenomen dat een bedrijf een onjuist geconfigureerd systeem heeft dat alleen het bedragveld van een XRP-transactie leest, dat op een hoog bedrag wordt ingesteld.
In werkelijkheid stuurt de exploiteur een veel kleiner bedrag over, gespecificeerd in een ander transactieveld, met als doel krediet te krijgen voor het verschil. Ardoino merkte echter op dat de aanval mislukte omdat “Bitfinex correct omgaat met het ‘delivered_amount’ gegevensveld.”
Bovendien werd onthuld dat de aanvaller ook een aanval probeerde uit te voeren op Binance met een overdracht van 58,9 miljard XRP, wat eveneens mislukte.
Deze incidenten onderstrepen de geavanceerde beveiligingsmaatregelen die crypto exchanges moeten handhaven om dergelijke exploitatiepogingen te dwarsbomen.
