Главная
Новости
Подробнее

Уязвимость внедрения запросов в Coinbase AgentKit недооценивается по воздействию

iconChaincatcher
Поделиться
Share IconShare IconShare IconShare IconShare IconShare IconCopy
AI summary iconСводка

expand icon
Отчет о уязвимости выявил уязвимость типа prompt injection в Coinbase AgentKit, позволяющую злоумышленникам выполнять неавторизованные переводы токенов через вредоносные входные данные. Уязвимость была протестирована на Base Sepolia и может позволить бесконечные одобрения ERC-20 и доступ к серверу. Сообщено в феврале, Coinbase классифицировало ее как уязвимость средней степени серьезности и предложило вознаграждение в $2 000. Исследователь утверждает, что последствия намного серьезнее, чем признано.

ChainCatcher сообщает, что, согласно CriptoNoticias, независимый исследователь безопасности раскрыл уязвимость prompt injection в Coinbase AgentKit, позволяющую злоумышленникам с помощью вредоносных команд заставить AI-агент выполнять неавторизованные переводы токенов без подтверждения пользователя. Уязвимость была подтверждена на тестовой сети Base Sepolia с помощью реальных транзакций. Кроме того, исследователь отметил, что уязвимость также раскрывает процесс бесконечной авторизации ERC-20 токенов и доступ к удалённым серверам в рамках одного исполняемого контекста агента, расширяя риски за пределы простого опустошения кошелька, однако в отчёте не указано, какие именно инфраструктурные компоненты могут быть затронуты. Уязвимость была представлена в программу вознаграждений за уязвимости Coinbase в феврале и официально подтверждена, в итоге получив классификацию как умеренно опасная с вознаграждением в 2 000 долларов США. Однако исследователь подчеркнул, что реальное воздействие уязвимости значительно превышает официальную оценку.

Источник:Показать оригинал
Отказ от ответственности: Информация на этой странице может быть получена от третьих лиц и не обязательно отражает взгляды или мнения KuCoin. Данный контент предоставляется исключительно в общих информационных целях, без каких-либо заверений или гарантий, а также не может быть истолкован как финансовый или инвестиционный совет. KuCoin не несет ответственности за ошибки или упущения, а также за любые результаты, полученные в результате использования этой информации. Инвестиции в цифровые активы могут быть рискованными. Пожалуйста, тщательно оценивайте риски, связанные с продуктом, и свою устойчивость к риску, исходя из собственных финансовых обстоятельств. Для получения более подробной информации, пожалуйста, ознакомьтесь с нашими Условиями использования и Уведомлением о риске.