Bei Coinbase ist es unsere oberste Priorität sicherzustellen, dass wir unsere Sicherheitsverpflichtungen gegenüber unseren Kunden einhalten. Am 11. Februar 2022 erhielten wir einen Bericht von einem externen Forscher, der darauf hinwies, dass sie einen Fehler in der Handelsschnittstelle von Coinbase entdeckt hatten. Wir haben umgehend unser Reaktionsteam für Sicherheitsvorfälle mobilisiert, um den Fehler zu identifizieren und zu beheben, und das zugrunde liegende Systemproblem ohne Auswirkungen auf die Kundengelder behoben.
Dieser Blogbeitrag bietet einen tieferen Einblick in die Zeitleiste der Ereignisse rund um den Fehlerbericht sowie eine Erläuterung des Fehlers selbst und der Schritte, die wir unternommen haben, um ihn zu beheben und sicherzustellen, dass er nicht erneut auftreten kann.
Timeline
(Beachten Sie, dass alle Ereignisse am 11. Februar 2022 stattfanden und alle Zeiten in PST angegeben sind.)
- 10:16 Uhr: Ein Mitglied der Krypto-Community twittert, dass sie einen schwerwiegenden Fehler in der Coinbase-Handelsschnittstelle entdeckt haben, und bittet um Kontakte im Coinbase-Sicherheitsteam.
- 11:00 Uhr: Basierend auf begrenzten anfänglichen Informationen, die von Vermittlern bereitgestellt wurden, meldet Coinbase Security einen Vorfall und mobilisiert technische Ressourcen, um mit dem Testen aller Handelsschnittstellen zu beginnen, um die Gültigkeit des angeblichen Fehlers zu bestimmen.
- 11:21 Uhr: Der Kryptoforscher reicht über HackerOne, die Bug-Bounty-Plattform von Coinbase, einen Schwachstellenbericht ein, der darauf hinweist, dass der Fehler in einer bestimmten API für Retail Advanced Trading liegt. Coinbase-Ingenieure führen auch eine Überprüfung aller anderen Benutzeroberflächen und Coinbase Exchange-APIs durch und stellen fest, dass sie nicht betroffen sind.
- 11:42 Uhr: Die Ingenieure von Coinbase sind in der Lage, den Fehler zu reproduzieren, und die Retail Advanced Trading-Plattform wird in den Nur-Abbrechen-Modus versetzt, wodurch neue Trades deaktiviert werden.
- 4:01 UHR: Ein Patch wird validiert und veröffentlicht, wodurch der Vorfall behoben wird.
Ursache
Die zugrunde liegende Ursache des Fehlers war eine fehlende Logikvalidierungsprüfung in einem Retail Brokerage API-Endpunkt, die es einem Benutzer ermöglichte, Trades mit einem nicht übereinstimmenden Quellkonto an ein bestimmtes Auftragsbuch zu übermitteln. Diese API wird nur von unserer Retail Advanced Trading-Plattform verwendet, die sich derzeit in einer begrenzten Beta-Version befindet.
Um ein Beispiel zu geben:
- Ein Benutzer hat ein Konto mit 100 SHIB und ein zweites Konto mit 0 BTC.
- Der Benutzer sendet eine Marktorder an das BTC-USD-Orderbuch, um 100 BTC zu verkaufen, bearbeitet jedoch manuell seine API-Anforderung, um sein SHIB-Konto als Geldquelle anzugeben.
- Hier würde der Validierungsdienst prüfen, ob das Quellkonto über ein ausreichendes Guthaben verfügt, um den Handel abzuschließen, aber nicht, ob das Quellkonto mit dem vorgeschlagenen Vermögenswert zum Einreichen des Handels übereinstimmt.
- Infolgedessen würde eine Marktorder zum Verkauf von 100 BTC im BTC-USD-Orderbuch an der Coinbase Exchange eingegeben.
Es gab mildernde Faktoren, die die Auswirkungen dieses Fehlers begrenzt hätten, wenn er in großem Umfang ausgenutzt worden wäre. Beispielsweise verfügt Coinbase Exchange über automatische Leistungsschalter für den Preisschutz, und unser Handelsüberwachungsteam überwacht unsere Märkte kontinuierlich auf Gesundheit und anomale Handelsaktivitäten.
Zusammenfassung
Dank des Forschers, der dieses Problem verantwortungsbewusst offengelegt hat, konnte Coinbase diesen Fehler innerhalb weniger Stunden beheben und endgültig feststellen, dass er nie böswillig ausgenutzt wurde. Wir haben auch zusätzliche Überprüfungen implementiert, um sicherzustellen, dass dies nicht noch einmal passieren kann.
Coinbase unterstützt nachdrücklich unabhängige Sicherheitsforschung, und wenn diese Forscher schwerwiegende Probleme aufdecken, möchten wir sicherstellen, dass sie entsprechend belohnt werden. Infolgedessen zahlen wir unsere bisher größte Bug-Prämie für diesen Fund: 250,000 US-Dollar.
Wir freuen uns über zukünftige Einreichungen von diesem Forscher und anderen über unser HackerOne-Programm: https://hackerone.com/coinbase.
Rückblick: Neuer Coinbase Bug Bounty Award Wurde ursprünglich veröffentlicht in Der Coinbase Blog Auf Medium, wo die Leute das Gespräch fortsetzen, indem sie auf diese Geschichte hinweisen und darauf reagieren.
- Coinsmart. Europas beste Bitcoin- und Krypto-Börse.
- Platoblockkette. Web3-Metaverse-Intelligenz. Wissen verstärkt. DEN FREIEN ZUGANG.
- CryptoHawk. Altcoin-Radar. Kostenlose Testphase.
- Source: https://blog.coinbase.com/retrospective-recent-coinbase-bug-bounty-award-9f127e04f060?source=rss—-c114225aeaf7—4
- 000
- 100
- 11
- 2022
- Konto
- Zusätzliche
- advanced
- Alle
- Bienen
- APIs
- Vermögenswert
- Beta
- Blog
- Brokerage
- BTC
- Fehler
- Bug Bounty
- Verursachen
- Schecks
- coinbase
- community
- Krypto
- Krypto-Gemeinschaft
- Kunden
- tiefer
- Endpunkt
- Entwicklung
- Ingenieure
- Veranstaltungen
- Beispiel
- Austausch-
- Faktoren
- Fe
- Fixieren
- Fehler
- folgen
- Mittel
- Zukunft
- Gesundheit
- HTTPS
- ia
- identifizieren
- Impact der HXNUMXO Observatorien
- umgesetzt
- Vorfallreaktion
- Information
- IP
- Problem
- Probleme
- IT
- Limitiert
- Markt
- Märkte
- Materie
- mittlere
- Auftrag
- Andere
- Anders
- Patch
- Plattform
- Preis
- Programm
- Sicherheit
- bietet
- Release
- freigegeben
- berichten
- Forschungsprojekte
- Downloads
- Antwort
- Einzelhandel
- Überprüfen
- Skalieren
- Sicherheitdienst
- verkaufen
- Unterstützt
- Überwachung
- System
- Team
- Testen
- Die Quelle
- basierte Online-to-Offline-Werbezuordnungen von anderen gab.
- mal
- Handel
- Trades
- Trading
- aufdecken
- Verwundbarkeit
- ob
- WHO
- ohne
- würde