Coinbase заплатила $250 000 за «угрожавший взорвать крипторынок» баг

Coinbase заплатила $250 000 за «угрожавший взорвать крипторынок» баг

19.02.2022
2
Максим Николаев

Пользователь Twitter Tree of Alpha рассказал, как он обнаружил «угрожавший взорвать рынок» баг на крупнейшей американской бирже криптовалют Coinbase и получил весьма скромное вознаграждение в $250 000 с учетом серьезности находки.

Как подтвердила сама Coinbase, проблема возникла в ее новом торговом интерфейсе, доступном в ограниченном режиме бета-тестирования. Злоумышленник мог вручную менять запросы, чтобы продавать одну криптовалюту, имея тот же объем в другой криптовалюте.

«Пользователь отправляет рыночную заявку в книгу заявок BTC-USD на продажу 100 BTC, но вручную редактирует свое обращение к API, чтобы указать свой счет SHIB в качестве источника финансирования. В результате в книге заявок BTC-USD появлялась соответствующая рыночная заявка», — пишет биржа.

Tree of Alpha сообщил, что он обнаружил баг, пока экспериментировал с новым интерфейсом Coinbase:

«Я просто использовал 0,0243 ETH, чтобы продать 0,0243 BTC в паре BTC-USD, к которой у меня нет доступа, не имея BTC. Я надеялся, что это баг в пользовательском интерфейсе, но, когда проверил историю, то обнаружил, что мой ордер действительно прошел в активной книге заявок».

Другими словами, Tree of Alpha смог продать BTC на $1 000, имея при этом лишь около $70 в ETH.

«Для последнего этапа тестирования и конечного подтверждения я:

  • Отправил 9 млн SHIB на Coinbase;
  • Изменил источник финансирования заявки на аккаунт с SHIB;
  • Выставил лимитную заявку на продажу 50 BTC при помощи 50 SHIB;
  • Попросил людей сказать, что они видят.

Сложно представить себе что-то столь отрезвляющее и пугающее одновременно:

  • Ты только что выставил лимитную заявку на продажу 50 BTC;
  • Все остальные ее видят.

Мы никогда не узнаем, что действительно могло бы произойти, если бы злонамеренный хакер попытался воспользоваться данной уязвимостью. Пусть лучше будет так. Хотя я сам мог попытаться разместить огромные лимитные заявки на продажу, ответственное тестирование предполагает, что я должен делать лишь то, что необходимо для оценки серьезности бага», — добавил Tree of Alpha.


2 Комментарий
Старые
Новые Популярные
Межтекстовые Отзывы
Посмотреть все комментарии
2
0
Оставьте комментарий! Напишите, что думаете по поводу статьи.x
()
x