W Coinbase naszym priorytetem numer jeden jest zapewnienie przestrzegania naszych zobowiązań w zakresie bezpieczeństwa wobec naszych klientów. 11 lutego 2022 r. otrzymaliśmy raport od zewnętrznego badacza wskazujący, że wykryli usterkę w interfejsie handlowym Coinbase. Niezwłocznie zmobilizowaliśmy nasz zespół reagowania na incydenty bezpieczeństwa, aby zidentyfikować i naprawić błąd oraz rozwiązać podstawowy problem z systemem bez żadnego wpływu na fundusze klientów.
Ten wpis na blogu zawiera głębsze spojrzenie na oś czasu wydarzeń związanych ze zgłoszeniem błędu, a także wyjaśnienie samego błędu i kroków, jakie podjęliśmy, aby go rozwiązać i zapewnić, że nie może się on powtórzyć.
Oś czasu
(uwaga, wszystkie wydarzenia miały miejsce 11 lutego 2022 r. i wszystkie podane są w okresie PST)
- 10:16 RANO: Członek społeczności kryptograficznej tweetuje, że wykrył poważną usterkę w interfejsie handlowym Coinbase, i prosi o kontakty w zespole Coinbase Security.
- 11:00 RANO: Na podstawie ograniczonych wstępnych informacji dostarczonych przez pośredników, Coinbase Security deklaruje incydent i mobilizuje zasoby inżynieryjne, aby rozpocząć testowanie wszystkich interfejsów handlowych w celu ustalenia ważności domniemanego błędu.
- 11:21 RANO: Badacz kryptowalut przesyła raport o luce za pośrednictwem HackerOne, platformy bug bounty firmy Coinbase, wskazując, że luka tkwi w określonym interfejsie API dla handlu detalicznego. Inżynierowie Coinbase dokonują również przeglądu wszystkich innych interfejsów użytkownika i interfejsów API Coinbase Exchange i ustalają, że nie ma na nie wpływu.
- 11:42 RANO: Inżynierowie Coinbase są w stanie odtworzyć błąd, a platforma Retail Advanced Trading zostaje przełączona w tryb tylko do anulowania, wyłączając nowe transakcje.
- 4:01: Poprawka zostaje zatwierdzona i wydana, rozwiązując incydent.
Przyczyna główna
Podstawową przyczyną błędu był brak kontroli poprawności logiki w punkcie końcowym API Retail Brokerage, który umożliwiał użytkownikowi przesyłanie transakcji do określonej księgi zamówień przy użyciu niedopasowanego konta źródłowego. Ten interfejs API jest używany tylko przez naszą platformę Retail Advanced Trading, która jest obecnie w ograniczonej wersji beta.
Dać przykład:
- Użytkownik ma konto z 100 SHIB i drugie konto z 0 BTC.
- Użytkownik przesyła zlecenie rynkowe do księgi zleceń BTC-USD, aby sprzedać 100 BTC, ale ręcznie edytuje swoje żądanie API, aby określić swoje konto SHIB jako źródło środków.
- W tym przypadku usługa walidacji sprawdziłaby, czy konto źródłowe miało wystarczające saldo, aby zakończyć transakcję, ale nie, czy konto źródłowe odpowiadało proponowanemu aktywowi do przesłania transakcji.
- W rezultacie na giełdzie Coinbase zostanie wprowadzone zlecenie rynkowe sprzedaży 100 BTC z księgi zleceń BTC-USD.
Istniały czynniki łagodzące, które ograniczyłyby wpływ tej wady, gdyby została wykorzystana na dużą skalę. Na przykład Coinbase Exchange ma automatyczne wyłączniki zabezpieczające ceny, a nasz zespół nadzoru handlu stale monitoruje nasze rynki pod kątem kondycji i anomalii w handlu.
Wnioski
Dzięki badaczowi, który odpowiedzialnie ujawnił ten problem, Coinbase był w stanie naprawić ten błąd w ciągu kilku godzin i ostatecznie ustalić, że nigdy nie został on złośliwie wykorzystany. Wprowadziliśmy również dodatkowe kontrole, aby upewnić się, że to się nie powtórzy.
Coinbase mocno wspiera niezależne badania bezpieczeństwa, a gdy ci badacze odkryją poważne problemy, chcemy zapewnić, że zostaną odpowiednio wynagrodzeni. W rezultacie za to odkrycie płacimy największą w historii nagrodę za błąd: 250,000 XNUMX USD.
Z zadowoleniem przyjmujemy przyszłe zgłoszenia od tego badacza i innych za pośrednictwem naszego programu HackerOne: https://hackerone.com/coinbase.
Retrospektywa: Ostatnia nagroda Coinbase Bug Bounty Award został pierwotnie opublikowany w Blog Coinbase na Medium, gdzie ludzie kontynuują rozmowę, podkreślając tę historię i odpowiadając na nią.
- Coinsmart. Najlepsza w Europie giełda bitcoinów i kryptowalut.
- Platoblockchain. Web3 Inteligencja Metaverse. Wzmocniona wiedza. DARMOWY DOSTĘP.
- CryptoJastrząb. Radar Altcoin. Bezpłatna wersja próbna.
- Source: https://blog.coinbase.com/retrospective-recent-coinbase-bug-bounty-award-9f127e04f060?source=rss—-c114225aeaf7—4
- 000
- 100
- 11
- 2022
- Konto
- Dodatkowy
- zaawansowany
- Wszystkie kategorie
- api
- Pszczoła
- kapitał
- beta
- Blog
- pośrednictwo
- BTC
- Bug
- nagroda za błąd
- Spowodować
- Wykrywanie urządzeń szpiegujących
- coinbase
- społeczność
- Crypto
- wspólnota kryptograficzna
- Klientów
- głębiej
- Punkt końcowy
- Inżynieria
- Inżynierowie
- wydarzenia
- przykład
- wymiana
- Czynniki
- Fe
- Fix
- wada
- obserwuj
- fundusze
- przyszłość
- Zdrowie
- HTTPS
- ia
- zidentyfikować
- Rezultat
- realizowane
- reakcja na incydent
- Informacja
- IP
- problem
- problemy
- IT
- Ograniczony
- rynek
- rynki
- Materia
- średni
- zamówienie
- Inne
- Pozostałe
- Łata
- Platforma
- Cena
- Program
- ochrona
- zapewnia
- zwolnić
- wydany
- raport
- Badania naukowe
- Zasoby
- odpowiedź
- detaliczny
- przeglądu
- Skala
- bezpieczeństwo
- sprzedać
- usługa
- podpory
- inwigilacja
- system
- zespół
- Testowanie
- Źródło
- innych firm
- czasy
- handel
- Transakcje
- Handel
- odkryć
- wrażliwość
- czy
- KIM
- bez
- by