En Coinbase, nuestra prioridad número uno es garantizar que cumplimos con nuestros compromisos de seguridad con nuestros clientes. El 11 de febrero de 2022, recibimos un informe de un investigador externo que indicaba que habían descubierto una falla en la interfaz comercial de Coinbase. Rápidamente movilizamos a nuestro equipo de respuesta a incidentes de seguridad para identificar y reparar el error, y resolvimos el problema subyacente del sistema sin ningún impacto en los fondos de los clientes.
Esta publicación de blog brinda una mirada más profunda a la línea de tiempo de los eventos relacionados con el informe de error, así como una explicación del error en sí y los pasos que tomamos para resolverlo y asegurarnos de que no vuelva a suceder.
Cronograma
(nota, todos los eventos ocurrieron el 11 de febrero de 2022 y todos los horarios están en PST)
- 10: 16 AM: Un miembro de la criptocomunidad tuitea que ha descubierto una falla grave en la interfaz comercial de Coinbase y solicita contactos en el equipo de seguridad de Coinbase.
- 11: 00 AM: Según la información inicial limitada proporcionada por los intermediarios, Coinbase Security declara un incidente y moviliza recursos de ingeniería para comenzar a probar todas las interfaces comerciales para determinar la validez del supuesto error.
- 11: 21 AM: El criptoinvestigador presenta un informe de vulnerabilidad a través de HackerOne, la plataforma de recompensas por errores de Coinbase, que indica que la falla reside en una API específica para el comercio minorista avanzado. Los ingenieros de Coinbase también completan una revisión de todas las demás interfaces de usuario y las API de Coinbase Exchange y determinan que no se vean afectadas.
- 11: 42 AM: Los ingenieros de Coinbase pueden reproducir el error, y la plataforma de comercio avanzado minorista se coloca en modo de solo cancelación, deshabilitando nuevos intercambios.
- 4: 01 PM: Un parche es validado y liberado, resolviendo el incidente.
Causa principal
La causa subyacente del error fue una verificación de validación de lógica faltante en un punto final de API de corretaje minorista, que permitía a un usuario enviar transacciones a un libro de pedidos específico utilizando una cuenta de origen que no coincidía. Esta API solo la utiliza nuestra plataforma Retail Advanced Trading, que actualmente se encuentra en una versión beta limitada.
Para dar un ejemplo:
- Un usuario tiene una cuenta con 100 SHIB y una segunda cuenta con 0 BTC.
- El usuario envía una orden de mercado al libro de órdenes BTC-USD para vender 100 BTC, pero edita manualmente su solicitud API para especificar su cuenta SHIB como fuente de fondos.
- Aquí, el servicio de validación verificaría para determinar si la cuenta de origen tenía un saldo suficiente para completar la operación, pero no si la cuenta de origen coincidía con el activo propuesto para enviar la operación.
- Como resultado, se ingresaría en Coinbase Exchange una orden de mercado para vender 100 BTC en el libro de órdenes BTC-USD.
Hubo factores atenuantes que habrían limitado el impacto de esta falla si se hubiera explotado a escala. Por ejemplo, Coinbase Exchange tiene interruptores automáticos de protección de precios, y nuestro equipo de vigilancia comercial monitorea continuamente nuestros mercados en busca de salud y actividad comercial anómala.
Conclusión
Gracias al investigador que reveló este problema de manera responsable, Coinbase pudo corregir este error en cuestión de horas y determinar de manera concluyente que nunca se ha explotado maliciosamente. También hemos implementado controles adicionales para garantizar que no vuelva a suceder.
Coinbase apoya firmemente la investigación de seguridad independiente, y cuando esos investigadores descubren problemas graves, queremos asegurarnos de que sean recompensados en consecuencia. Como resultado, estamos pagando nuestra mayor recompensa por errores por este hallazgo: $250,000.
Damos la bienvenida a futuras presentaciones de este investigador y otros a través de nuestro programa HackerOne: https://hackerone.com/coinbase.
Retrospectiva: Premio reciente Coinbase Bug Bounty Fue publicado originalmente en El blog de Coinbase En Medio, donde la gente continúa la conversación destacando y respondiendo a esta historia.
- Coinsmart. El mejor intercambio de Bitcoin y criptografía de Europa.
- Platoblockchain. Inteligencia del Metaverso Web3. Conocimiento amplificado. ACCESO LIBRE.
- CriptoHawk. Radar de altcoins. Prueba gratis.
- Source: https://blog.coinbase.com/retrospective-recent-coinbase-bug-bounty-award-9f127e04f060?source=rss—-c114225aeaf7—4
- 000
- 100
- 11
- 2022
- Mi Cuenta
- Adicionales
- avanzado
- Todos
- abejas
- API
- activo
- beta
- Blog
- corretaje
- BTC
- Error
- recompensa de errores
- Causar
- Cheques
- coinbase
- vibrante e inclusiva
- cripto
- comunidad crypto
- Clientes
- más profundo
- Punto final
- Ingeniería
- certificados
- Eventos
- ejemplo
- Intercambio
- factores importantes
- Fe
- Fijar
- falla
- seguir
- fondos
- futuras
- Salud
- HTTPS
- ia
- Identifique
- Impacto
- implementado
- respuesta al incidente
- información
- IP
- cuestiones
- IT
- Limitada
- Mercado
- Industrias
- Materia
- mediano
- solicite
- Otro
- Otros
- Patch
- plataforma
- precio
- Programa
- Protección
- proporciona un
- ,
- liberado
- reporte
- la investigación
- Recursos
- respuesta
- el comercio minorista
- una estrategia SEO para aparecer en las búsquedas de Google.
- Escala
- EN LINEA
- venta
- de coches
- soportes
- vigilancia
- te
- equipo
- Pruebas
- La Fuente
- terceros.
- veces
- comercio
- oficios
- Plataforma de
- descubrir
- vulnerabilidad
- sean
- QUIENES
- sin
- se