Головна
Новини
Детальніше

Вразливість до ін'єкції запитів у Coinbase AgentKit недооцінена за впливом

iconChaincatcher
Поділитися
Share IconShare IconShare IconShare IconShare IconShare IconCopy
AI summary iconКороткий зміст

expand icon
Звіт про вразливість розкриває проблему ін’єкції запитів у Coinbase AgentKit, що дозволяє зловмисникам виконувати неавторизовані перекази токенів за допомогою шкідливих вхідних даних. Безпекову порушення було протестовано на Base Sepolia і може дозволити безмежні схвалення ERC-20 та отримати доступ до сервера. Повідомлено у лютому, Coinbase класифікувала її як середньої серйозності та запропонувала винагороду у $2 000. Дослідник стверджує, що вплив набагато більший, ніж визнано.

ChainCatcher, за повідомленням CriptoNoticias, незалежний безпековий дослідник розкрив уразливість prompt injection у Coinbase AgentKit, через яку зловмисники можуть за допомогою зловживних команд змусити AI-агент виконувати неавторизовані перекази токенів без підтвердження з боку користувача. Ця уразливість була підтверджена на тестовій мережі Base Sepolia за допомогою реальних транзакцій. Крім того, дослідник зазначив, що вразливість також виявляє безмежні процеси авторизації для токенів ERC-20 та доступ до зовнішніх серверів в межах одного виконавчого середовища агента, що розширює ризики за межі простого опорожнення гаманця, хоча у звіті не зазначено, які саме інфраструктурні компоненти можуть бути під загрозою. Уразливість була подана у програму винагород за виявлення вразливостей Coinbase у лютому та отримала офіційне підтвердження, після чого була класифікована як середньої важливості з виплатою винагороди у розмірі 2 000 доларів США. Однак дослідник підкреслив, що реальний вплив цієї уразливості значно перевищує офіційну оцінку.

Джерело:Показати оригінал
Відмова від відповідальності: Інформація на цій сторінці може бути отримана від третіх осіб і не обов'язково відображає погляди або думки KuCoin. Цей контент надається лише для загального інформування, без будь-яких запевнень або гарантій, а також не може розглядатися як фінансова або інвестиційна порада. KuCoin не несе відповідальності за будь-які помилки або упущення, а також за будь-які результати, отримані в результаті використання цієї інформації. Інвестиції в цифрові активи можуть бути ризикованими. Будь ласка, ретельно оцініть ризики продукту та свою толерантність до ризику, виходячи з ваших власних фінансових обставин. Для отримання додаткової інформації, будь ласка, зверніться до наших Умов використання та Розкриття інформації про ризики.