Yahoo奇摩新聞 柴犬幣當比特幣賣 Coinbase被找出核彈級漏洞
【民眾網編輯劉家瑜/綜合報導】
那斯達克上市的加密貨幣交易所Coinbase頒發出公司歷來最高的漏洞賞金25萬美元,根據區塊鏈媒體The Block報導,一名匿名研究人員Tree of Alpha在測試版交易功能中,發現可能造成市場衝擊的核彈級漏洞(bug),只要用戶在另一個帳戶中擁有相同數量的加密貨幣,他們就能利用漏洞在帳戶內出售另一種加密貨幣,例如:允許用戶使用100 SHIB(柴犬幣)出售 100 BTC(比特幣)。
Tree of Alpha說明,起初他決定探索新的高級交易平台,以了解如何發送訂單以及成功的訂單長得如何。他下了一個ETH-EUR(以太幣-歐元)的訂單,並發送的請求。從 request API 中可發現完成一筆交易需包含交易對、來源帳戶 ID 及目標帳戶 ID。
出於好奇,Tree of Alpha 想查看交易失敗的錯誤訊息,他把產品ID改成BTC-USD(比特幣-美元),但沒有改變兩個帳戶的ID(從以太幣錢包發到歐元錢包)。他原預期帳戶不允許交易BTC-USD而出現錯誤,但訂單卻成功通過。在沒有持有任何 BTC 的情況下, Tree of Alpha 錢包內的 0.024 ETH 被當作 0.024 BTC 賣出。
關於漏洞的原因,他猜測Coinbase未進行交易對確認,在快速解釋如何利用漏洞並提供概念證明後,他堅持認為 Coinbase 需要立即停止所有高級交易平台,尤其是發出訂單的功能。Coinbase 立即修復了漏洞,並贈與 Tree of Alpha 25 萬美元,此為 Coinbase 有史以來最高的漏洞獎金。
網友們紛表示Coinbase 的漏洞賞金過少,但Tree of Alpha表示漏洞賞金的大小很難界定,必須足以讓灰帽駭客變白帽駭客,但也不能大到令所有人都開始嘗試其網站尋找漏洞。他也相信,一旦漏洞被有心人利用,大部分損失還是在市場本身,而不是在 Coinbase 客戶的持倉。因為交易所的風險系統會啟動並停止所有提款,Coinbase 可以在遭遇打擊之後進行內部回溯。
Coinbase's "largest-ever bug bounty"
How a flaw in the new Advanced Trading feature would have allowed a malicious user to sell BTC or any other coin without owning them, and how Coinbase's reaction speed on a Super Bowl Friday averted a possible crisis.
Bounty: $250,000 pic.twitter.com/Y91M48pCcI— Tree of Alpha (@Tree_of_Alpha) February 19, 2022
延伸閱讀:
