At Coinbase, our number one priority is ensuring that we uphold our security commitments to our customers. On February 11, 2022, we received a report from a third-party researcher indicating that they had uncovered a flaw in Coinbase’s trading interface. We promptly mobilized our security incident response team to identify and patch the bug, and resolved the underlying system issue without any impact to customer funds.
This blog post provides a deeper look into the timeline of events surrounding the bug report, as well as an explanation of the bug itself and the steps we took to resolve it and ensure it cannot happen again.
Companiei
(note, all events occurred on February 11, 2022, and all times are in PST)
- 10:16: A member of the crypto community tweets that they have uncovered a serious flaw in the Coinbase trading interface, and requests contacts in the Coinbase Security team.
- 11:00: Based on limited initial information provided by intermediaries, Coinbase Security declares an incident and mobilizes engineering resources to begin testing all trading interfaces to determine the validity of the alleged bug.
- 11:21: Cercetatorul cripto depune un raport de vulnerabilitate prin HackerOne, platforma de recompensă a erorilor Coinbase, indicând că defectul rezidă într-un API specific pentru comerțul avansat cu amănuntul. Inginerii Coinbase completează, de asemenea, o revizuire a tuturor celorlalte interfețe de utilizator și a API-urilor Coinbase Exchange și determină că acestea nu sunt afectate.
- 11:42: Coinbase engineers are able to reproduce the bug, and the Retail Advanced Trading platform is placed into cancel-only mode, disabling new trades.
- ora 4:01: Un patch este validat și eliberat, rezolvând incidentul.
Cauza de bază
The underlying cause of the bug was a missing logic validation check in a Retail Brokerage API endpoint, which allowed a user to submit trades to a specific order book using a mismatched source account. This API is only utilized by our Retail Advanced Trading platform, which is currently in limited beta release.
To give an example:
- A user has an account with 100 SHIB, and a second account with 0 BTC.
- The user submits a market order to the BTC-USD order book to sell 100 BTC, but manually edits their API request to specify their SHIB account as the source of funds.
- Here, the validation service would check to determine whether the source account had a sufficient balance to complete the trade, but not whether the source account matched the proposed asset for submitting the trade.
- Ca urmare, un ordin de piață de a vinde 100 BTC în registrul de ordine BTC-USD ar fi introdus pe Coinbase Exchange.
Au existat factori de atenuare care ar fi limitat impactul acestui defect dacă ar fi fost exploatat la scară. De exemplu, Coinbase Exchange are întreruptoare automate de protecție a prețurilor, iar echipa noastră de supraveghere a comerțului ne monitorizează continuu piețele pentru sănătate și activități de tranzacționare anormale.
Concluzie
Thanks to the researcher who responsibly disclosed this issue, Coinbase was able to fix this bug in a matter of hours, and conclusively determine that it has never been maliciously exploited. We have also implemented additional checks to ensure that it cannot happen again.
Coinbase sprijină cu tărie cercetarea independentă de securitate și, atunci când acești cercetători descoperă probleme serioase, dorim să ne asigurăm că sunt recompensați în consecință. Drept urmare, plătim cea mai mare recompensă pentru erori pentru această constatare: 250,000 USD.
Salutăm trimiterile viitoare din partea acestui cercetător și a altora prin intermediul programului nostru HackerOne: https://hackerone.com/coinbase.
Retrospectivă: Premiul Coinbase Bug Bounty recent a fost publicat inițial în Blogul Coinbase pe Medium, unde oamenii continuă conversația subliniind și răspunzând la această poveste.
- Coinsmart. Cel mai bun schimb de Bitcoin și Crypto din Europa.
- Platoblockchain. Web3 Metaverse Intelligence. Cunoștințe amplificate. ACCES LIBER.
- CryptoHawk. Radar Altcoin. Încercare gratuită.
- Source: https://blog.coinbase.com/retrospective-recent-coinbase-bug-bounty-award-9f127e04f060?source=rss—-c114225aeaf7—4
- 000
- 100
- 11
- 2022
- Cont
- Suplimentar
- avansat
- TOATE
- api
- API-uri
- activ
- beta
- Blog
- brokeraj
- BTC
- Bug
- Bounty de bug
- Provoca
- Verificări
- coinbase
- comunitate
- cripto
- cripto comunitate
- clienţii care
- Mai adânc
- Punct final
- Inginerie
- inginerii
- evenimente
- exemplu
- schimb
- factori
- Fe
- Repara
- defect
- urma
- Fondurile
- viitor
- Sănătate
- HTTPS
- ia
- identifica
- Impactul
- implementat
- răspuns la incident
- informații
- IP
- problema
- probleme de
- IT
- Limitat
- Piață
- pieţe
- materie
- mediu
- comandă
- Altele
- Altele
- Plasture
- platformă
- preţ
- Program
- protecţie
- furnizează
- eliberaţi
- eliberat
- raportează
- cercetare
- Resurse
- răspuns
- cu amănuntul
- revizuiască
- Scară
- securitate
- vinde
- serviciu
- Sprijină
- supraveghere
- sistem
- echipă
- Testarea
- Sursa
- terț
- ori
- comerţului
- meserii
- Trading
- descoperi
- vulnerabilitate
- dacă
- OMS
- fără
- ar