Chez Coinbase, notre priorité numéro un est de garantir que nous respectons nos engagements en matière de sécurité envers nos clients. Le 11 février 2022, nous avons reçu un rapport d'un chercheur tiers indiquant qu'il avait découvert une faille dans l'interface de trading de Coinbase. Nous avons rapidement mobilisé notre équipe de réponse aux incidents de sécurité pour identifier et corriger le bug, et résolu le problème système sous-jacent sans aucun impact sur les fonds des clients.
Cet article de blog fournit un examen plus approfondi de la chronologie des événements entourant le rapport de bug, ainsi qu'une explication du bug lui-même et des mesures que nous avons prises pour le résoudre et garantir qu'il ne se reproduise plus.
Timeline
(Remarque : tous les événements se sont produits le 11 février 2022 et toutes les heures sont en PST)
- 10h16 : Un membre de la communauté crypto tweete qu'il a découvert une grave faille dans l'interface de trading de Coinbase et demande des contacts au sein de l'équipe de sécurité de Coinbase.
- 11h00 : Sur la base d'informations initiales limitées fournies par les intermédiaires, Coinbase Security déclare un incident et mobilise des ressources d'ingénierie pour commencer à tester toutes les interfaces de trading afin de déterminer la validité du bug présumé.
- 11h21 : Le chercheur en crypto dépose un rapport de vulnérabilité via HackerOne, la plateforme de primes de bugs de Coinbase, indiquant que la faille réside dans une API spécifique pour Retail Advanced Trading. Les ingénieurs de Coinbase effectuent également un examen de toutes les autres interfaces utilisateur et des API Coinbase Exchange et déterminent qu'elles ne sont pas affectées.
- 11h42 : Les ingénieurs de Coinbase sont capables de reproduire le bug et la plateforme Retail Advanced Trading est placée en mode annulation uniquement, désactivant les nouvelles transactions.
- 4: 01 PM: Un correctif est validé et publié, résolvant l'incident.
Cause première
La cause sous-jacente du bug était un contrôle de validation logique manquant dans un point de terminaison de l'API Retail Brokerage, qui permettait à un utilisateur de soumettre des transactions à un carnet d'ordres spécifique à l'aide d'un compte source incompatible. Cette API est utilisée uniquement par notre plateforme Retail Advanced Trading, qui est actuellement en version bêta limitée.
Pour donner un exemple :
- Un utilisateur possède un compte avec 100 SHIB et un deuxième compte avec 0 BTC.
- L'utilisateur soumet un ordre de marché au carnet d'ordres BTC-USD pour vendre 100 BTC, mais modifie manuellement sa demande API pour spécifier son compte SHIB comme source de fonds.
- Ici, le service de validation vérifierait si le compte source disposait d'un solde suffisant pour finaliser la transaction, mais pas si le compte source correspondait à l'actif proposé pour soumettre la transaction.
- En conséquence, un ordre de marché pour vendre 100 BTC sur le carnet d'ordres BTC-USD serait saisi sur Coinbase Exchange.
Il y avait des facteurs atténuants qui auraient limité l'impact de cette faille si elle avait été exploitée à grande échelle. Par exemple, Coinbase Exchange dispose de disjoncteurs automatiques de protection des prix, et notre équipe de surveillance commerciale surveille en permanence nos marchés pour la santé et les activités commerciales anormales.
Conclusion
Grâce au chercheur qui a divulgué ce problème de manière responsable, Coinbase a pu corriger ce bug en quelques heures et déterminer de manière concluante qu'il n'a jamais été exploité de manière malveillante. Nous avons également mis en place des contrôles supplémentaires pour garantir que cela ne puisse plus se reproduire.
Coinbase soutient fortement la recherche indépendante sur la sécurité, et lorsque ces chercheurs découvrent des problèmes graves, nous voulons nous assurer qu'ils sont récompensés en conséquence. En conséquence, nous payons notre prime de bogue la plus importante jamais réalisée pour cette découverte : 250,000 XNUMX $.
Nous accueillons les futures soumissions de ce chercheur et d'autres via notre programme HackerOne : https://hackerone.com/coinbase.
Rétrospective : Récent Coinbase Bug Bounty Award A été publié à l'origine dans Le blog Coinbase Sur Medium, où les gens continuent la conversation en soulignant et en répondant à cette histoire.
- Coinsmart. Le meilleur échange Bitcoin et Crypto d'Europe.
- Platoblockchain. Intelligence métaverse Web3. Connaissance amplifiée. ACCÈS LIBRE.
- CryptoHawk. Radar Altcoins. Essai gratuit.
- Source: https://blog.coinbase.com/retrospective-recent-coinbase-bug-bounty-award-9f127e04f060?source=rss—-c114225aeaf7—4
- 000
- 100
- 11
- 2022
- Compte
- Supplémentaire
- Avancée
- Tous
- api
- Apis
- atout
- bêta
- blog
- courtage
- BTC
- Punaise
- bounty de bogue
- Causes
- Contrôles
- coinbase
- Communautés
- Crypto
- communauté crypto
- Clients
- profond
- Endpoint
- ENGINEERING
- Les ingénieurs
- événements
- exemple
- échange
- facteurs
- Fe
- Fixer
- défaut
- suivre
- fonds
- avenir
- Santé
- HTTPS
- ia
- identifier
- Impact
- mis en œuvre
- réponse à l'incident
- d'information
- IP
- aide
- vous aider à faire face aux problèmes qui vous perturbent
- IT
- limité
- Marché
- Marchés
- Matière
- moyenne
- de commander
- Autre
- Autres
- Pièce
- plateforme
- prix
- Programme
- protection
- fournit
- libérer
- libéré
- rapport
- un article
- Ressources
- réponse
- détail
- Avis
- Escaliers intérieurs
- sécurité
- vendre
- service
- Les soutiens
- surveillance
- combustion propre
- équipe
- Essais
- La Source
- des tiers.
- fois
- commerce
- métiers
- Commerce
- devoiler
- vulnérabilité
- que
- WHO
- sans
- pourra