Hos Coinbase er vores førsteprioritet at sikre, at vi overholder vores sikkerhedsforpligtelser over for vores kunder. Den 11. februar 2022 modtog vi en rapport fra en tredjepartsforsker, der indikerede, at de havde afsløret en fejl i Coinbase's handelsgrænseflade. Vi mobiliserede omgående vores sikkerhedshændelsesresponsteam til at identificere og lappe fejlen og løste det underliggende systemproblem uden at påvirke kundernes midler.
Dette blogindlæg giver et dybere kig på tidslinjen for begivenheder omkring fejlrapporten, samt en forklaring på selve fejlen og de trin, vi tog for at løse den og sikre, at den ikke kan ske igen.
Timeline
(bemærk, alle begivenheder fandt sted den 11. februar 2022, og alle tidspunkter er i PST)
- 10:16: Et medlem af kryptofællesskabet tweeter, at de har afsløret en alvorlig fejl i Coinbase-handelsgrænsefladen og anmoder om kontakter i Coinbase Security-teamet.
- 11:00: Baseret på begrænset indledende information leveret af mellemmænd, erklærer Coinbase Security en hændelse og mobiliserer tekniske ressourcer til at begynde at teste alle handelsgrænseflader for at bestemme gyldigheden af den påståede fejl.
- 11:21: Kryptoforskeren indsender en sårbarhedsrapport via HackerOne, Coinbase's bug bounty-platform, hvilket indikerer, at fejlen ligger i en specifik API til Retail Advanced Trading. Coinbase-ingeniører gennemfører også en gennemgang af alle andre brugergrænseflader og Coinbase Exchange API'er og fastslår, at de ikke er påvirket.
- 11:42: Coinbase-ingeniører er i stand til at reproducere fejlen, og Retail Advanced Trading-platformen er placeret i annulleringstilstand, hvilket deaktiverer nye handler.
- 4:01: En patch valideres og frigives, hvilket løser hændelsen.
Hovedårsagen
Den underliggende årsag til fejlen var en manglende logisk valideringskontrol i et Retail Brokerage API-slutpunkt, som tillod en bruger at indsende handler til en specifik ordrebog ved hjælp af en uoverensstemmende kildekonto. Denne API bruges kun af vores Retail Advanced Trading-platform, som i øjeblikket er i begrænset betaversion.
For at give et eksempel:
- En bruger har en konto med 100 SHIB og en anden konto med 0 BTC.
- Brugeren sender en markedsordre til BTC-USD-ordrebogen for at sælge 100 BTC, men redigerer manuelt deres API-anmodning for at angive deres SHIB-konto som kilde til midler.
- Her vil valideringstjenesten kontrollere for at afgøre, om kildekontoen havde en tilstrækkelig saldo til at fuldføre handlen, men ikke om kildekontoen matchede det foreslåede aktiv til indsendelse af handlen.
- Som følge heraf vil en markedsordre om at sælge 100 BTC på BTC-USD ordrebogen blive indtastet på Coinbase Exchange.
Der var formildende faktorer, der ville have begrænset virkningen af denne fejl, hvis den var blevet udnyttet i stor skala. For eksempel har Coinbase Exchange automatiske prisbeskyttelsesafbrydere, og vores handelsovervågningsteam overvåger løbende vores markeder for sundhed og unormal handelsaktivitet.
Konklusion
Takket være forskeren, der ansvarligt afslørede dette problem, var Coinbase i stand til at rette denne fejl i løbet af få timer og endeligt fastslå, at den aldrig er blevet ondsindet udnyttet. Vi har også implementeret yderligere kontroller for at sikre, at det ikke kan ske igen.
Coinbase støtter stærkt uafhængig sikkerhedsforskning, og når disse forskere afslører alvorlige problemer, vil vi sikre, at de bliver belønnet i overensstemmelse hermed. Som et resultat udbetaler vi vores hidtil største fejlbelønning for dette fund: $250,000.
Vi glæder os over fremtidige indlæg fra denne forsker og andre via vores HackerOne-program: https://hackerone.com/coinbase.
Tilbageblik: Nylig Coinbase Bug Bounty Award blev oprindeligt offentliggjort i Coinbase-bloggen på Medium, hvor folk fortsætter samtalen ved at fremhæve og svare på denne historie.
- 000
- 100
- 11
- 2022
- Konto
- Yderligere
- fremskreden
- Alle
- api
- API'er
- aktiv
- beta
- Blog
- mæglervirksomhed
- BTC
- Bug
- bug bounty
- Årsag
- Kontrol
- coinbase
- samfund
- krypto
- crypto samfund
- Kunder
- dybere
- Endpoint
- Engineering
- Ingeniører
- begivenheder
- eksempel
- udveksling
- faktorer
- Fe
- Fix
- fejl
- følger
- fonde
- fremtiden
- Helse
- HTTPS
- ia
- identificere
- KIMOs Succeshistorier
- implementeret
- hændelsesrespons
- oplysninger
- IP
- spørgsmål
- spørgsmål
- IT
- Limited
- Marked
- Markeder
- Matter
- medium
- ordrer
- Andet
- Andre
- patch
- perron
- pris
- Program
- beskyttelse
- giver
- frigive
- frigivet
- indberette
- forskning
- Ressourcer
- svar
- detail
- gennemgå
- Scale
- sikkerhed
- sælger
- tjeneste
- Understøtter
- overvågning
- systemet
- hold
- Test
- The Source
- tredjepart
- gange
- handle
- handler
- Trading
- afdække
- sårbarhed
- hvorvidt
- WHO
- uden
- ville