Na Coinbase, nossa prioridade número um é garantir que cumprimos nossos compromissos de segurança com nossos clientes. Em 11 de fevereiro de 2022, recebemos um relatório de um pesquisador terceirizado indicando que eles haviam descoberto uma falha na interface de negociação da Coinbase. Mobilizamos prontamente nossa equipe de resposta a incidentes de segurança para identificar e corrigir o bug e resolvemos o problema subjacente do sistema sem qualquer impacto nos fundos dos clientes.
Esta postagem do blog fornece uma visão mais detalhada da linha do tempo dos eventos relacionados ao relatório do bug, bem como uma explicação do bug em si e das etapas que tomamos para resolvê-lo e garantir que ele não aconteça novamente.
Timeline
(observe que todos os eventos ocorreram em 11 de fevereiro de 2022 e todos os horários estão no PST)
- 10h16: Um membro da comunidade criptográfica twittou que descobriu uma falha séria na interface de negociação da Coinbase e solicita contatos da equipe de segurança da Coinbase.
- 11h00: Com base nas informações iniciais limitadas fornecidas pelos intermediários, a Coinbase Security declara um incidente e mobiliza recursos de engenharia para começar a testar todas as interfaces de negociação para determinar a validade do suposto bug.
- 11h21: O pesquisador de criptografia envia um relatório de vulnerabilidade por meio do HackerOne, plataforma de recompensas por bugs da Coinbase, indicando que a falha reside em uma API específica para Retail Advanced Trading. Os engenheiros da Coinbase também concluem uma revisão de todas as outras interfaces de usuário e APIs do Coinbase Exchange e determinam que elas não são afetadas.
- 11h42: Os engenheiros da Coinbase conseguem reproduzir o bug, e a plataforma Retail Advanced Trading é colocada no modo somente cancelamento, desativando novas negociações.
- 4h01: Um patch é validado e lançado, resolvendo o incidente.
Causa raiz
A causa subjacente do bug foi uma verificação de validação lógica ausente em um endpoint da API Retail Brokerage, que permitia que um usuário enviasse negociações para uma carteira de pedidos específica usando uma conta de origem incompatível. Esta API é utilizada apenas pela nossa plataforma Retail Advanced Trading, que está atualmente em versão beta limitada.
Para dar um exemplo:
- Um usuário possui uma conta com 100 SHIB e uma segunda conta com 0 BTC.
- O usuário envia uma ordem de mercado para a carteira de pedidos BTC-USD para vender 100 BTC, mas edita manualmente sua solicitação de API para especificar sua conta SHIB como fonte de fundos.
- Aqui, o serviço de validação verificaria se a conta de origem tinha saldo suficiente para concluir a negociação, mas não se a conta de origem correspondia ao ativo proposto para submeter a negociação.
- Como resultado, uma ordem de mercado para vender 100 BTC na carteira de pedidos BTC-USD seria inserida na Coinbase Exchange.
Havia fatores atenuantes que teriam limitado o impacto desta falha se ela tivesse sido explorada em grande escala. Por exemplo, a Coinbase Exchange possui disjuntores automáticos de proteção de preços, e nossa equipe de vigilância comercial monitora continuamente nossos mercados em busca de saúde e atividades comerciais anômalas.
Conclusão
Graças ao pesquisador que divulgou esse problema de forma responsável, a Coinbase conseguiu corrigir esse bug em questão de horas e determinar conclusivamente que ele nunca foi explorado de forma maliciosa. Também implementamos verificações adicionais para garantir que isso não aconteça novamente.
A Coinbase apoia fortemente pesquisas de segurança independentes e, quando esses pesquisadores descobrem problemas sérios, queremos garantir que sejam recompensados de acordo. Como resultado, estamos pagando nossa maior recompensa por bugs por essa descoberta: US$ 250,000.
Aceitamos futuras submissões deste pesquisador e de outros através do nosso programa HackerOne: https://hackerone.com/coinbase.
Retrospectiva: recente prêmio Coinbase Bug Bounty foi publicado originalmente em O blog da Coinbase no Medium, onde as pessoas continuam a conversa destacando e respondendo a essa história.
- Coinsmart. A melhor troca de Bitcoin e criptografia da Europa.
- Platoblockchain. Inteligência Metaverso Web3. Conhecimento Ampliado. ACESSO LIVRE.
- CryptoHawk. Radar Altcoin. Teste grátis.
- Source: https://blog.coinbase.com/retrospective-recent-coinbase-bug-bounty-award-9f127e04f060?source=rss—-c114225aeaf7—4
- 000
- 100
- 11
- 2022
- Conta
- Adicional
- avançado
- Todos os Produtos
- api
- APIs
- ativo
- beta
- Blog
- corretagem
- BTC
- Bug
- recompensa bug
- Causar
- Cheques
- coinbase
- comunidade
- cripto
- comunidade de cripto
- Clientes
- mais profunda
- Ponto final
- Engenharia
- Engenheiros
- eventos
- exemplo
- exchange
- fatores
- Fe
- Fixar
- falha
- seguir
- fundos
- futuro
- Saúde
- HTTPS
- ia
- identificar
- Impacto
- implementado
- resposta a incidentes
- INFORMAÇÕES
- IP
- emitem
- questões
- IT
- Limitado
- mercado
- Mercados
- Importância
- média
- ordem
- Outros
- Outros
- Remendo
- plataforma
- preço
- Agenda
- proteção
- fornece
- liberar
- liberado
- Denunciar
- pesquisa
- Recursos
- resposta
- varejo
- rever
- Escala
- segurança
- vender
- serviço
- suportes
- vigilância
- .
- Profissionais
- ensaio
- A fonte
- De terceiros
- vezes
- comércio
- trades
- Trading
- descobrir
- vulnerabilidade
- se
- QUEM
- sem
- seria