Hos Coinbase er vår førsteprioritet å sikre at vi opprettholder våre sikkerhetsforpliktelser overfor kundene våre. 11. februar 2022 mottok vi en rapport fra en tredjepartsforsker som indikerte at de hadde avdekket en feil i Coinbase sitt handelsgrensesnitt. Vi mobiliserte raskt vårt svarteam for sikkerhetshendelser for å identifisere og lappe feilen, og løste det underliggende systemproblemet uten at det hadde noen innvirkning på kundenes midler.
Dette blogginnlegget gir en dypere titt på tidslinjen for hendelser rundt feilrapporten, samt en forklaring av selve feilen og trinnene vi tok for å løse den og sikre at den ikke kan skje igjen.
Tidslinje
(merk at alle hendelser skjedde 11. februar 2022, og alle tider er i PST)
- 10:16: Et medlem av kryptosamfunnet tvitrer at de har avdekket en alvorlig feil i Coinbase-handelsgrensesnittet, og ber om kontakter i Coinbase Security-teamet.
- 11:00: Basert på begrenset innledende informasjon gitt av mellommenn, erklærer Coinbase Security en hendelse og mobiliserer tekniske ressurser for å begynne å teste alle handelsgrensesnitt for å fastslå gyldigheten av den påståtte feilen.
- 11:21: Kryptoforskeren sender inn en sårbarhetsrapport via HackerOne, Coinbases bug bounty-plattform, som indikerer at feilen ligger i et spesifikt API for Retail Advanced Trading. Coinbase-ingeniører fullfører også en gjennomgang av alle andre brukergrensesnitt og Coinbase Exchange APIer og fastslår at de ikke er berørt.
- 11:42: Coinbase-ingeniører er i stand til å reprodusere feilen, og Retail Advanced Trading-plattformen settes i kanselleringsmodus, og deaktiverer nye handler.
- 4:01: En oppdatering er validert og utgitt, og løser hendelsen.
Opprinnelig årsak
Den underliggende årsaken til feilen var en manglende logikkvalideringssjekk i et Retail Brokerage API-endepunkt, som tillot en bruker å sende inn handler til en spesifikk ordrebok ved å bruke en kildekonto som ikke samsvarer. Denne API-en brukes kun av vår Retail Advanced Trading-plattform, som for øyeblikket er i begrenset betaversjon.
For å gi et eksempel:
- En bruker har en konto med 100 SHIB, og en andre konto med 0 BTC.
- Brukeren sender inn en markedsordre til BTC-USD-ordreboken for å selge 100 BTC, men redigerer API-forespørselen manuelt for å spesifisere sin SHIB-konto som kilden til midler.
- Her vil valideringstjenesten sjekke om kildekontoen hadde tilstrekkelig saldo til å fullføre handelen, men ikke om kildekontoen samsvarte med den foreslåtte eiendelen for innsending av handelen.
- Som et resultat vil en markedsordre for å selge 100 BTC på BTC-USD-ordreboken legges inn på Coinbase Exchange.
Det var formildende faktorer som ville ha begrenset virkningen av denne feilen hvis den hadde blitt utnyttet i stor skala. For eksempel har Coinbase Exchange automatiske prisbeskyttelsesbrytere, og vårt handelsovervåkingsteam overvåker kontinuerlig markedene våre for helse og unormal handelsaktivitet.
konklusjonen
Takket være forskeren som ansvarlig avslørte dette problemet, var Coinbase i stand til å fikse denne feilen i løpet av få timer, og endelig fastslå at den aldri har blitt utnyttet med ondsinnethet. Vi har også implementert ytterligere kontroller for å sikre at det ikke kan skje igjen.
Coinbase støtter sterkt uavhengig sikkerhetsforskning, og når disse forskerne avdekker alvorlige problemer, ønsker vi å sikre at de blir belønnet deretter. Som et resultat utbetaler vi vår største feilbelønning noensinne for dette funnet: $250,000 XNUMX.
Vi ønsker velkommen fremtidige bidrag fra denne forskeren og andre via vårt HackerOne-program: https://hackerone.com/coinbase.
Retrospektiv: Nylig Coinbase Bug Bounty Award ble opprinnelig publisert i Coinbase-bloggen på Medium, der folk fortsetter samtalen ved å markere og svare på denne historien.
- Myntsmart. Europas beste Bitcoin og Crypto Exchange.
- Platoblokkkjede. Web3 Metaverse Intelligence. Kunnskap forsterket. FRI TILGANG.
- CryptoHawk. Altcoin Radar. Gratis prøveperiode.
- Source: https://blog.coinbase.com/retrospective-recent-coinbase-bug-bounty-award-9f127e04f060?source=rss—-c114225aeaf7—4
- 000
- 100
- 11
- 2022
- Logg inn
- Ytterligere
- avansert
- Alle
- api
- APIer
- eiendel
- beta
- Blogg
- megling
- BTC
- Bug
- bug bounty
- Årsak
- Sjekker
- coinbase
- samfunnet
- krypto
- kryptomiljøet
- Kunder
- dypere
- Endpoint
- Ingeniørarbeid
- Ingeniører
- hendelser
- eksempel
- utveksling
- faktorer
- Fe
- Fix
- feil
- følge
- midler
- framtid
- Helse
- HTTPS
- ia
- identifisere
- Påvirkning
- implementert
- hendelsesrespons
- informasjon
- IP
- utstedelse
- saker
- IT
- Begrenset
- marked
- Markets
- Saken
- medium
- rekkefølge
- Annen
- andre
- patch
- plattform
- pris
- program
- beskyttelse
- gir
- slipp
- utgitt
- rapporterer
- forskning
- Ressurser
- svar
- detaljhandel
- anmeldelse
- Skala
- sikkerhet
- selger
- tjeneste
- Støtter
- overvåking
- system
- lag
- Testing
- Kilden
- tredjeparts
- ganger
- handel
- handler
- trading
- avdekke
- sårbarhet
- om
- HVEM
- uten
- ville