財經
Coinbase 獎勵漏洞披露者 25 萬美元!
Coinbase在官方博客發布針對此前漏洞事件的調查報告,稱在2022年2月11日收到了第三方研究人員的報告,稱他們發現了Coinbase交易界面的缺陷。
緊貼世界各地區塊鏈社群最新資訊,追蹤 Coindaily 社交平台!
加入 TG 頻道: https://t.me/coindaily_official
Facebook:https://www.facebook.com/CoinDaily_official
Instagram:https://www.instagram.com/coindaily.official
Coinbase 在官方博客發布針對此前漏洞事件的調查報告,稱在 2022 年 2 月 11 日收到了第三方研究人員的報告,稱他們發現了 Coinbase 交易界面的缺陷。
Coinbase 及時調動安全事件響應團隊對漏洞進行識別和修復,在不影響客戶資金的情況下解決了系統底層問題。
Coinbase 表示,該錯誤的根本原因是零售經紀API端點中缺少邏輯驗證檢查,這允許用戶使用不匹配的源賬戶將交易提交到特定訂單簿。此API僅由零售高級交易平台使用,該平台目前處於有限測試版中。
舉例而言,假如一個用戶有一個擁有100 SHIB的帳戶,以及一個擁有0 BTC的第二個帳戶,他可以通過向 BTC-USD 訂單簿提交市價單賣出100 BTC,但手動編輯其API請求以指定其SHIB賬戶作為資金來源,從而可以在BTC-USD訂單簿上賣出100 BTC的市價單。
為此,Coinbase 表示向披露者支付了25萬美元的漏洞賞金。
早前Coinbase事件的時間線
(注意,所有事件都發生在 2022 年 2 月 11 日,並且所有時間都在太平洋標準時間)
- 上午 10:16:加密社區的一名成員在推特上表示,他們發現了 Coinbase 交易界面中的一個嚴重缺陷,並要求與 Coinbase 安全團隊聯繫。
- 上午 11:00:根據中介提供的有限初始信息,Coinbase Security 宣布發生事件並調動工程資源開始測試所有交易接口以確定所謂錯誤的有效性。
- 上午 11:21:加密研究人員通過 Coinbase 的漏洞賞金平台 HackerOne 提交了一份漏洞報告,表明該漏洞存在於零售高級交易的特定 API 中。Coinbase 工程師還完成了對所有其他用戶界面和 Coinbase Exchange API 的審查,並確定它們不受影響。
- 上午 11:42: Coinbase 工程師能夠重現該錯誤,並將零售高級交易平台置於僅取消模式,禁用新交易。
- 下午 4:01:驗證並發布補丁,解決事件。