Tại Coinbase, ưu tiên số một của chúng tôi là đảm bảo rằng chúng tôi duy trì các cam kết bảo mật với khách hàng. Vào ngày 11 tháng 2022 năm XNUMX, chúng tôi nhận được một báo cáo từ một nhà nghiên cứu bên thứ ba cho biết rằng họ đã phát hiện ra một lỗ hổng trong giao diện giao dịch của Coinbase. Chúng tôi đã nhanh chóng huy động nhóm ứng phó sự cố bảo mật của mình để xác định và vá lỗi, đồng thời giải quyết vấn đề hệ thống cơ bản mà không ảnh hưởng đến tiền của khách hàng.
Bài đăng trên blog này cung cấp cái nhìn sâu hơn về tiến trình của các sự kiện xung quanh báo cáo lỗi, cũng như giải thích về chính lỗi và các bước chúng tôi đã thực hiện để giải quyết và đảm bảo nó không thể xảy ra lần nữa.
Lịch Trình Sự Kiện
(lưu ý, tất cả các sự kiện xảy ra vào ngày 11 tháng 2022 năm XNUMX và tất cả thời gian đều theo giờ PST)
- 10:16: Một thành viên của cộng đồng tiền điện tử tweet rằng họ đã phát hiện ra một lỗ hổng nghiêm trọng trong giao diện giao dịch Coinbase và yêu cầu liên hệ trong nhóm Bảo mật Coinbase.
- 11:00: Dựa trên thông tin ban đầu hạn chế do người trung gian cung cấp, Coinbase Security tuyên bố sự cố và huy động các nguồn lực kỹ thuật để bắt đầu thử nghiệm tất cả các giao diện giao dịch nhằm xác định tính hợp lệ của lỗi bị cáo buộc.
- 11:21: Nhà nghiên cứu tiền điện tử gửi báo cáo về lỗ hổng bảo mật thông qua HackerOne, nền tảng tiền thưởng lỗi của Coinbase, chỉ ra rằng lỗ hổng nằm trong một API cụ thể cho Giao dịch nâng cao bán lẻ. Các kỹ sư của Coinbase cũng hoàn thành việc xem xét tất cả các giao diện người dùng khác và API Coinbase Exchange và xác định rằng chúng không bị ảnh hưởng.
- 11:42: Các kỹ sư của Coinbase có thể tái tạo lỗi và nền tảng Giao dịch Nâng cao Bán lẻ được đặt ở chế độ chỉ hủy, vô hiệu hóa các giao dịch mới.
- 4: 01 PM: Một bản vá được xác nhận và phát hành, giải quyết sự cố.
Nguyên nhân gốc rễ
Nguyên nhân cơ bản của lỗi là thiếu kiểm tra xác thực logic trong điểm cuối API môi giới bán lẻ, cho phép người dùng gửi giao dịch đến một sổ đặt hàng cụ thể bằng cách sử dụng tài khoản nguồn không khớp. API này chỉ được sử dụng bởi nền tảng Giao dịch Nâng cao Bán lẻ của chúng tôi, hiện đang trong bản phát hành beta giới hạn.
Để đưa ra một ví dụ:
- Người dùng có tài khoản 100 SHIB và tài khoản thứ hai có 0 BTC.
- Người dùng gửi lệnh thị trường vào sổ đặt hàng BTC-USD để bán 100 BTC, nhưng chỉnh sửa thủ công yêu cầu API của họ để chỉ định tài khoản SHIB của họ làm nguồn tiền.
- Tại đây, dịch vụ xác thực sẽ kiểm tra để xác định xem liệu tài khoản nguồn có đủ số dư để hoàn tất giao dịch hay không, nhưng liệu tài khoản nguồn có khớp với tài sản được đề xuất để gửi giao dịch hay không.
- Do đó, một lệnh thị trường bán 100 BTC trên sổ lệnh BTC-USD sẽ được nhập vào Sàn giao dịch Coinbase.
Có những yếu tố giảm thiểu sẽ hạn chế tác động của lỗ hổng này nếu nó được khai thác ở quy mô lớn. Ví dụ: Sàn giao dịch Coinbase có bộ ngắt mạch bảo vệ giá tự động và nhóm giám sát thương mại của chúng tôi liên tục theo dõi thị trường của chúng tôi về sức khỏe và hoạt động giao dịch bất thường.
Kết luận
Nhờ nhà nghiên cứu đã tiết lộ vấn đề này một cách có trách nhiệm, Coinbase đã có thể sửa lỗi này trong vài giờ và xác định một cách dứt khoát rằng nó chưa bao giờ bị khai thác một cách ác ý. Chúng tôi cũng đã thực hiện kiểm tra bổ sung để đảm bảo rằng điều đó không thể xảy ra nữa.
Coinbase hỗ trợ mạnh mẽ các nghiên cứu bảo mật độc lập và khi các nhà nghiên cứu đó phát hiện ra các vấn đề nghiêm trọng, chúng tôi muốn đảm bảo rằng họ sẽ được khen thưởng xứng đáng. Do đó, chúng tôi đang trả khoản tiền thưởng lỗi lớn nhất từ trước đến nay của mình cho phát hiện này: 250,000 đô la.
Chúng tôi hoan nghênh các bài nộp trong tương lai từ nhà nghiên cứu này và những người khác thông qua chương trình HackerOne của chúng tôi: https://hackerone.com/coinbase.
Hồi tưởng: Giải thưởng tiền thưởng lỗi gần đây của Coinbase ban đầu được xuất bản trong Blog Coinbase trên Medium, nơi mọi người đang tiếp tục cuộc trò chuyện bằng cách nhấn mạnh và trả lời câu chuyện này.
- Coinsmart. Sàn giao dịch Bitcoin và tiền điện tử tốt nhất Châu Âu.
- Platoblockchain. Web3 Metaverse Intelligence. Khuếch đại kiến thức. TRUY CẬP MIỄN PHÍ.
- CryptoHawk. Radar Altcoin. Dùng thử miễn phí.
- Source: https://blog.coinbase.com/retrospective-recent-coinbase-bug-bounty-award-9f127e04f060?source=rss—-c114225aeaf7—4
- 000
- 100
- 11
- 2022
- Tài khoản
- thêm vào
- tiên tiến
- Tất cả
- api
- API
- tài sản
- beta
- Blog
- môi giới
- BTC
- Bug
- tiền thưởng lỗi
- Nguyên nhân
- Séc
- coinbase
- cộng đồng
- Crypto
- cộng đồng crypto
- khách hàng
- sâu sắc hơn
- Điểm cuối
- Kỹ Sư
- Kỹ sư
- sự kiện
- ví dụ
- Sàn giao dịch
- các yếu tố
- Fe
- Sửa chữa
- lỗ hổng
- theo
- quỹ
- tương lai
- cho sức khoẻ
- HTTPS
- ia
- xác định
- Va chạm
- thực hiện
- ứng phó sự cố
- thông tin
- IP
- vấn đề
- các vấn đề
- IT
- Hạn chế
- thị trường
- thị trường
- chất
- trung bình
- gọi món
- Nền tảng khác
- Khác
- Vá
- nền tảng
- giá
- chương trình
- bảo vệ
- cung cấp
- phát hành
- phát hành
- báo cáo
- nghiên cứu
- Thông tin
- phản ứng
- bán lẻ
- xem xét
- Quy mô
- an ninh
- bán
- dịch vụ
- Hỗ trợ
- giám sát
- hệ thống
- nhóm
- Kiểm tra
- Nguồn
- của bên thứ ba
- thời gian
- thương mại
- ngành nghề
- Giao dịch
- khám phá
- dễ bị tổn thương
- liệu
- CHÚNG TÔI LÀ
- không có
- sẽ