Coinbase 现“市场核弹级”漏洞,颁发25万美元奖励
编译:代码卫士
Coinbase 证实称该缺陷由第三方研究员在2月11日报告并触发紧急事件响应,使平台处于“仅取消模式”,禁止所有新交易。该漏洞是研究员通过 HackerOne 平台私下告知 Coinbase 平台的,不过有匿名推特账户提醒了该漏洞可造成的“市场核弹级”后果。这名匿名人员指出,Coinbase 的新高级交易特性本可导致恶意用户在对比特币或其它密币无所有权的情况下,出售它们。
Coinbase 平台发布安全公告指出,漏洞根因是Retail Brokerage API 端点缺乏逻辑验证检查,从而可使用户使用不匹配的源账户将交易提交给某个特定的订单。
如下是对漏洞影响的说明:
用户有两个账户,一个账户里面有100个SHIB币(柴犬币),另外一个账户有0个比特币。
该用户向BTC-USD 订单提交了一个出售100比特币的市场订购单,但手动编辑API请求,指定其SHIB账户为资金来源。
在这里,该验证服务将检查确定该来源账户是否具有足够的余额完成该交易,但并不会确定来源账户是否匹配所提交交易中所提议资产。
于是TC-USD订购单上出售100个比特币的市场订单将出现在 Coinbase Exchange中。
Coinbase 指出,“如果该漏洞被大规模利用,本有一些缓解因素限制其影响。” 该公司提到 Coinbase Exchange 具有自动化价格防护断路机制,并拥有一支监控团队持续监控市场中的健康和异常交易活动。
Coinbase 指出在发现问题的6小时内修复了该缺陷,“未对客户资金造成任何影响。该漏洞从未遭恶意利用。我们同时执行了额外检查,确保未来不再发生此类事件。”该平台提到之后颁发出其史上金额最高的奖励,体现对安全的重视。
全球最大的NFC 交易平台OpenSea严重漏洞可使黑客窃取钱包密币
获得200万美元赏金?!看他如何发现Polygon Plasma 桥中的严重双花漏洞
MakeDAO 推出新漏洞奖励计划,最高赏金1000万美元
https://www.securityweek.com/coinbase-pays-250k-market-nuking-security-flaw
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。