В Coinbase нашим приоритетом номер один является обеспечение выполнения наших обязательств по безопасности перед нашими клиентами. 11 февраля 2022 года мы получили отчет от стороннего исследователя, в котором указано, что они обнаружили ошибку в торговом интерфейсе Coinbase. Мы оперативно мобилизовали нашу группу реагирования на инциденты безопасности для выявления и исправления ошибки, а также устранили основную проблему системы без какого-либо ущерба для средств клиентов.
В этом сообщении блога более подробно рассматривается хронология событий, связанных с отчетом об ошибке, а также объяснение самой ошибки и шагов, которые мы предприняли для ее устранения и предотвращения повторения.
Лента
(обратите внимание, все события произошли 11 февраля 2022 г., время указано по тихоокеанскому времени)
- 10:16 утра: Член криптосообщества пишет в Твиттере, что обнаружил серьезную ошибку в торговом интерфейсе Coinbase, и запрашивает контакты в команде безопасности Coinbase.
- 11:00 утра: На основании ограниченной первоначальной информации, предоставленной посредниками, Coinbase Security объявляет об инциденте и мобилизует инженерные ресурсы, чтобы начать тестирование всех торговых интерфейсов и определить достоверность предполагаемой ошибки.
- 11:21 утра: Крипто-исследователь подает отчет об уязвимости через HackerOne, платформу Coinbase по поиску ошибок, указывая, что уязвимость связана с конкретным API для расширенной розничной торговли. Инженеры Coinbase также проверяют все другие пользовательские интерфейсы и API-интерфейсы Coinbase Exchange и определяют, что они не затронуты.
- 11:42 утра: Инженеры Coinbase смогли воспроизвести ошибку, а платформа Retail Advanced Trading переводится в режим только отмены, отключая новые сделки.
- 4: 01 сообщение: Исправление проверяется и выпускается, устраняя инцидент.
Основная причина
Основной причиной ошибки была отсутствующая проверка логики в конечной точке API Retail Brokerage, которая позволяла пользователю отправлять сделки в определенную книгу заказов, используя несовпадающую исходную учетную запись. Этот API используется только нашей платформой Retail Advanced Trading, которая в настоящее время находится на стадии ограниченной бета-версии.
Приведу пример:
- У пользователя есть учетная запись со 100 SHIB и вторая учетная запись с 0 BTC.
- Пользователь отправляет рыночный заказ в книгу заказов BTC-USD на продажу 100 BTC, но вручную редактирует свой запрос API, чтобы указать свою учетную запись SHIB в качестве источника средств.
- Здесь служба проверки будет проверять, имеет ли исходный счет достаточный баланс для завершения сделки, но не соответствует ли исходный счет предложенному активу для отправки сделки.
- В результате рыночный ордер на продажу 100 BTC в книге заказов BTC-USD будет размещен на бирже Coinbase.
Существовали смягчающие факторы, которые ограничили бы влияние этой уязвимости, если бы она использовалась в больших масштабах. Например, на Coinbase Exchange есть автоматические выключатели для защиты цен, а наша команда по наблюдению за торговлей постоянно следит за состоянием наших рынков и аномальной торговой активностью.
Заключение
Благодаря исследователю, который ответственно раскрыл эту проблему, Coinbase смогла исправить эту ошибку за считанные часы и окончательно определить, что она никогда не использовалась злонамеренно. Мы также внедрили дополнительные проверки, чтобы гарантировать, что подобное не повторится.
Coinbase решительно поддерживает независимые исследования в области безопасности, и когда эти исследователи обнаруживают серьезные проблемы, мы хотим гарантировать, что они будут вознаграждены соответствующим образом. В результате за эту находку мы выплачиваем самое большое вознаграждение за обнаружение ошибок: 250,000 XNUMX долларов.
Мы приветствуем будущие заявки от этого исследователя и других через нашу программу HackerOne: https://hackerone.com/coinbase.
Ретроспектива: недавняя награда Coinbase Bug Bounty Был первоначально опубликован в Блог Coinbase На Среднем, где люди продолжают разговор, выделяя и реагируя на эту историю.
- Коинсмарт. Лучшая в Европе биржа биткойнов и криптовалют.
- Платоблокчейн. Интеллект метавселенной Web3. Расширение знаний. БЕСПЛАТНЫЙ ДОСТУП.
- КриптоХок. Альткоин Радар. Бесплатная пробная версия.
- Source: https://blog.coinbase.com/retrospective-recent-coinbase-bug-bounty-award-9f127e04f060?source=rss—-c114225aeaf7—4
- 000
- 100
- 11
- 2022
- Учетная запись
- дополнительный
- продвинутый
- Все
- API
- API
- активы
- beta
- Блог
- брокерский
- BTC
- Ошибка
- ошибка баунти
- Вызывать
- Проверки
- coinbase
- сообщество
- крипто-
- crypto community
- Клиенты
- более глубокий
- Конечная точка
- Проект и
- Инженеры
- События
- пример
- обмена
- факторы
- Fe
- фиксированный
- недостаток
- следовать
- средства
- будущее
- Медицина
- HTTPS
- ia
- определения
- Влияние
- в XNUMX году
- реакция на инцидент
- информация
- IP
- вопрос
- вопросы
- IT
- Ограниченный
- рынок
- Области применения:
- Вопрос
- средний
- заказ
- Другое
- Другое
- Патчи
- Платформа
- цена
- FitPartner™
- защиту
- приводит
- освободить
- выпустил
- отчету
- исследованиям
- Полезные ресурсы
- ответ
- розничный
- обзоре
- Шкала
- безопасность
- продаем
- обслуживание
- Поддержка
- наблюдение
- система
- команда
- Тестирование
- Источник
- сторонние
- раз
- торговать
- торги
- Торговля
- открывай
- уязвимость
- будь то
- КТО
- без
- бы