研究人员为“潜在的市场空调”漏洞净获得25万美元
一名安全研究人员已经为披露Coinbase中的脆弱性提供了25万美元的漏洞赏金,该漏洞可能使用户可以“出售”他们不拥有的货币。
该错误是由安全工程师发现的阿尔法树’,他们的披露导致他们收到加密货币Exchange本月有史以来最大的赏金支出。
Alpha发现,由于零售经纪API端点中缺少逻辑验证检查,他们能够交易加密货币,这允许用户使用不匹配的源帐户向特定的订单簿提交交易。
这可能会使攻击者从平台窃取无限的加密货币。
交易场所
一个Coinbase的博客文章描述了攻击:“用户有一个带有100 shib的帐户,第二个带有0 BTC的帐户。
“用户向BTC-USD订单簿提交了市场订单以出售100 BTC,但手动编辑其API请求以将其SHIB帐户指定为资金来源。
“在这里,验证服务将检查以确定源帐户是否有足够的余额来完成交易,但不能与提交交易的拟议资产相匹配。
“因此,将在Coinbase Exchange上输入BTC-USD订单订单上出售100 BTC的市场订单。”
“潜在的市场努力”
α描述推特他们如何使用0.0243 ETH在BTC-USD对上出售0.0243 BTC,“我无需持有任何BTC的一对就无法访问一对。
他们继续:“希望这是一个UI错误,我检查订单的填充物,它们与API相匹配:这些交易确实发生在现场订单上。”
推荐的夫妇被指控从45亿美元的Bitfinex加密货币黑客攻击。
在发现这个问题时,Alpha报告了由Hackerone管理的Coinbase Bug Bounty程序。
他们也去了Twitter要在Coinbase找到联系,以警告他们“潜在的市场空调”发现。
紧急修复
令人印象深刻的是,Coinbase做出了反应,并且该错误在不到六个小时的时间内固定了,交易所“最终确定”从未被恶意剥削。
博客文章继续说:“此API仅由我们的零售高级交易平台(目前处于有限的Beta版本中)来使用。
“有些缓解因素会限制该缺陷的影响,如果该缺陷被大规模开发。
“例如,Coinbase Exchange具有自动的价格保护断路器,我们的贸易监视团队不断监视我们的健康和异常交易活动市场。
“非常感谢研究员他负责任地披露了这个问题,Coinbase能够在几个小时内解决此错误,并最终确定它从未被恶意剥削。
“我们还实施了其他检查,以确保不会再次发生。”
发薪日
Alpha获得了25万美元的奖金,这是迄今为止Coinbase的最高支出,尽管相比之下,如果漏洞被剥削了漏洞,那么可能损失的资金金额。
每日swbeplay2018官网ig已与安全研究人员联系以寻求更多评论。
