Coinbase уязвимость bug bounty вознаграждение криптбиржа хакер
Исследователь считает что выплата была слишком скромной.
Криптовалютная биржа Coinbase выплатила награду в размере $250 000 хакеру под псевдонимом Tree of Alpha. Он обнаружил «недостаток в новой функции расширенной торговли позволил злоумышленнику продать BTC или любую другую монету, не владея ею». Недостаток в коде мог «подорвать» рынок.
Об уязвимости Tree of Alpha сообщил компании вечером 11 февраля. Он написал, что «ему нужно срочно поговорить с управляющими или разработчиками Coinbase, так как проблема не может ждать». Специалисты биржи связались с хакером и начали работу над устранением уязвимости.
Уязвимость была обнаружена в новой торговой функции в бета-версии площадки. Хакер, используя два аккаунта на бирже, мог выставлять ордера на продажу криптовалюты, используя балансы в других монетах. То есть, например, он мог «продать» 100 BTC, хотя на его счету было бы лишь 100 SHIB.
«Пользователь посылал рыночный ордер в паре BTC/USD на продажу 100 BTC, но с помощью ручной корректировки запроса в API платформы использовал аккаунт с балансом в SHIB в качестве источника средств. Соответственно, в книге ордеров появился бы ордер на продажу 100 биткоинов», – пишут представители биржи.
За обнаружение уязвимости Coinbase выплатила Tree of Alpha награду в $250 000. Хакер отметил, что обнаружил уязвимость случайно – ему удалось продать 0.0243 BTC, используя аналогичное количество ETH на своем кошельке. Он выяснил, что ордер действительно был исполнен движком площадки, и связался с биржей. . Эксперты раскритиковали такое низкое вознаграждение, особенно учитывая масштабы взлома и возможные потери, которые могла бы понести биржа в результате взлома. За подобные уязвимости некоторые Defi протоколы предлагают миллионы долларов.
Мы никогда не узнаем, что действительно могло бы произойти, если бы злонамеренный хакер попытался воспользоваться данной уязвимостью. Пусть лучше будет так. Хотя я сам мог попытаться разместить огромные лимитные заявки на продажу, ответственное тестирование предполагает, что я должен делать лишь то, что необходимо для оценки серьезности бага», — добавил Tree of Alpha.
SECURITYLAB.RU