Coinbase виплачує найбільшу винагороду за помилку за недолік торгового інтерфейсу

Coinbase платний у п’ятницю він отримав найбільшу винагороду за помилки, нагородивши дослідника 250 000 доларів США за виявлення недоліку в торговому інтерфейсі криптоплатформи.

11 лютого наук звернувся до Twitter сказати, що вони знайшли «потенційно ядерну ринок» вразливість, яку потрібно усунути якомога швидше. Coinbase повідомила, що того ж дня отримала звіт від дослідника через HackerOne і швидко працювала над виправленням помилки.

Проблема стосувалась конкретного недоліку в API для роздрібної розширеної торгівлі, і інженери Coinbase зрештою змогли відтворити помилку. Вони вимкнули всі нові угоди, перевівши платформу Retail Advanced Trading у режим лише скасування перед перевіркою та випуском виправлення.

За даними Coinbase, ця вразливість ніколи не використовувалася зловмисниками.

«Основною причиною помилки була відсутність перевірки логіки в кінцевій точці Retail Brokerage API, яка дозволив користувачеві відправляти угоди в певну книгу ордерів, використовуючи невідповідний вихідний обліковий запис», — пояснили в Coinbase. «Цей API використовується лише нашою платформою Retail Advanced Trading, яка наразі знаходиться в обмеженій бета-версії».

«Наведу приклад: у користувача є обліковий запис із 100 SHIB, а другий обліковий запис — 0 BTC. Користувач надсилає ринковий ордер у книгу ордерів BTC-USD на продаж 100 BTC, але вручну редагує свій запит API, щоб указати свій рахунок SHIB як джерело коштів. Тут служба перевірки перевіряє, чи має вихідний обліковий запис достатній баланс щоб завершити торгівлю, але не те, чи збігається вихідний обліковий запис із запропонованим активом для подання торгівля. У результаті ринковий ордер на продаж 100 BTC у книзі ордерів BTC-USD буде введено на біржі Coinbase».

Coinbase стверджує, що вразливість не могла бути збільшена для створення більшої атаки, оскільки «Coinbase Exchange автоматичні автоматичні вимикачі із захистом цін", а його команда з нагляду за торгівлею відстежує ринки на предмет аномальної торгівлі діяльність.

Криптокомпанія закликала інших дослідників підкоритися їхня програма HackerOne.

Дослідник, який виявив проблему, користувач Twitter Tree_of_Alpha, пояснив експлойт:

«Найбільша винагорода за помилку» від Coinbase
Як недолік у новій функції розширеної торгівлі дозволив би зловмисникові продавати BTC або будь-який інший монети, не володіючи ними, і як швидкість реакції Coinbase під час Суперкубка в п’ятницю запобігла можливому криза.
Нагорода: 250 000 доларів pic.twitter.com/Y91M48pCcI

— Дерево Альфа (@Tree_of_Alpha) 19 лютого 2022 р

Для зловмисного користувача кілька векторів атак включають:
-замикання на ftx/binance та показ великих лімітних продажів (>100 тис. btc), щоб змусити ринок налякати.
- фактично здійснювати постійний тиск на продаж, використовуючи 50 SHIB, щоб продати 50 BTC щохвилини.
-намагається вивести виручені кошти.

— Дерево Альфа (@Tree_of_Alpha) 19 лютого 2022 р

Tree_of_Alpha похвалив Coinbase за швидку реакцію на проблему, і навіть у своєму оригінальному твіттері представники Coinbase відреагували на його попередження майже негайно. Генеральний директор Coinbase Браян Армстронг подякував досліднику за виявлення вразливості.

У жовтні Coinbase надіслав листи-повідомлення про порушення тисячам користувачів після того, як вони виявлено «кампанія третіх сторін для отримання несанкціонованого доступу до облікових записів клієнтів Coinbase і переміщення коштів клієнтів з платформи Coinbase».