madeni para tabanı ödendi Şimdiye kadarki en büyük hata ödülü geçen Cuma ödendi ve bir araştırmacıyı kripto para birimi platformunun ticaret arayüzündeki bir kusuru keşfettiği için 250.000 dolar ile ödüllendirdi.
11 Şubat’ta bir araştırmacı Twitter’da duyurdu pazarın çökmesine neden olabilecek ve mümkün olan en kısa sürede düzeltilmesi gereken bir güvenlik açığı keşfetmek. Coinbase, HackerOne aracılığıyla araştırmacıdan aynı gün içinde bir rapor aldığını ve hatayı düzeltmek için hızla çalıştığını söyledi.
Sorun, Perakende Gelişmiş Ticaret için bir API’deki bir kusuru içeriyordu ve Coinbase mühendisleri sonunda hatayı yeniden oluşturabildi. Bir düzeltmeyi taahhüt edip yayınlamadan önce, Gelişmiş Perakende Ticaret platformunu yalnızca iptal moduna yerleştirerek tüm yeni işlemleri devre dışı bıraktılar. Coinbase’e göre güvenlik açığı siber saldırganlar tarafından kullanılmadı.
Coinbase, istismarı küçümsüyor
Coinbase, “Hatanın altında yatan neden, bir Perakende Aracılık API uç noktasında, bir kullanıcının desteklenmeyen bir kaynak hesabı kullanarak işlem göndermesine izin veren eksik bir mantık doğrulama kontrolüydü” diye açıklıyor. “Bu API yalnızca şu anda sınırlı beta sürümünde olan Perakende Gelişmiş Ticaret platformumuz tarafından kullanılıyor. »
“Örnek vermek gerekirse: Bir kullanıcının 100 SHIB’lik hesabı ve 0 BTC’lik ikinci hesabı var. Kullanıcı, 100 BTC satmak için BTC-USD sipariş defterine bir piyasa emri gönderir, ancak SHIB hesabını fon kaynağı olarak belirtmek için API talebini manuel olarak düzenler. Bu durumda doğrulama hizmeti, kaynak hesabın işlemi tamamlamak için yeterli bakiyeye sahip olup olmadığını kontrol eder, ancak kaynak hesabın işlemi göndermek için önerilen varlıkla eşleşip eşleşmediğini kontrol etmez. Bu nedenle, Coinbase borsasına BTC-USD sipariş defterinde 100 BTC satmak için bir piyasa emri girilecektir. »
Coinbase, “Coinbase Exchange’in otomatik fiyat koruma devre kesicilerine sahip olduğu” ve borsa izleme ekibinin anormal ticaret aktivitesi için piyasaları izlediği için güvenlik açığının daha büyük bir saldırı oluşturmak için kullanılamayacağını iddia ediyor.
Kripto para firması, diğer araştırmacıları bulgularını şuraya göndermeye çağırdı. HackerOne’daki programı.
Sorunu keşfeden araştırmacı Tree_of_Alpha, Twitter’da istismar hakkında daha fazla bilgi paylaştı:
Coinbase’in “şimdiye kadarki en büyük hata ödülü”
Yeni Gelişmiş Ticaret özelliğindeki bir kusur, kötü niyetli bir kullanıcının BTC veya başka herhangi bir madeni paraya sahip olmadan satmasına nasıl izin verirdi ve Coinbase’in Super Bowl Cuma’daki tepki hızı olası bir krizi nasıl önledi?
Ödül: 250.000$ pic.twitter.com/Y91M48pCcI
—Alfa Ağacı (@Tree_of_Alpha) 19 Şubat 2022
“Coinbase’in ‘Şimdiye Kadarki En Büyük Hata Ödülü’. Yeni Gelişmiş Ticaret özelliğindeki bir kusur, kötü niyetli bir kullanıcının BTC veya başka herhangi bir madeni parayı sahip olmadan satmasına nasıl izin verirdi ve Coinbase’in bir Super Bowl Cuma günü tepki verme hızı olası bir krizi nasıl önledi? Prim: 250.000$. »
Kötü niyetli bir kullanıcı için birkaç saldırı vektörü şunları içerir:
-ftx/binance’de açığa satış yapmak ve piyasayı çıldırmak için büyük limitli satışlar (>100k btc) yapmak.
-aslında her dakika 50 BTC satmak için 50 SHIB kullanarak sabit bir satış baskısı uygulamak.
-Gelirleri geri çekmeye çalışmak.—Alfa Ağacı (@Tree_of_Alpha) 19 Şubat 2022
“Kötü niyetli bir kullanıcı için birkaç saldırı vektörü mümkündür: ftx/binance üzerinde açığa satış yapmak ve piyasayı paniğe sevk etmek için büyük satış limitleri (100.000 BTC) göstermek. Her dakika 50 BTC satmak için 50 SHIB kullanarak tutarlı satış baskısı uygulayın. Satıştan elde edilen geliri çekmeye çalışmak. »
Tree_of_Alpha, soruna hızlı yanıt verdiği için Coinbase’i övdü ve orijinal Twitter ileti dizisinde bile Coinbase temsilcileri uyarıya neredeyse anında yanıt verdi. Coinbase CEO’su Brian Armstrong, teşekkür etti güvenlik açığını tespit etmek için araştırmacı.
Geçen Ekim ayında, Coinbase zaten yapmak zorundaydı binlerce kullanıcıyı bilgilendirmek için posta gönderin “Coinbase müşteri hesaplarına yetkisiz erişim elde etmek ve müşteri fonlarını Coinbase platformundan çıkarmak için üçüncü taraf kampanyası” keşfedildikten sonra.
Kaynak: ZDNet.com
