menu-icon
anue logo
熱門時事鉅亨號鉅亨買幣
search icon

區塊鏈

Coinbase「核彈級」程式漏洞,ETH當BTC賣!祭出過往最高25萬漏洞賞金

鏈新聞 2022-02-21 14:00

cover image of news article
鏈新聞圖片

「圖:鏈新聞提供」

Twitter 網友 Tree of Alpha 於本月 12 號發現加密貨幣交易所 Coinbase 的進階交易功能存在「核彈級漏洞」,在迅速向官方反應並解決問題後,Coinbase 祭出高達 25 萬美元的漏洞賞金。不過,社群似乎認為 Coinbase 有些小氣,認爲應支付更高的金額。


「圖:鏈新聞提供」

Coinbse 嚴重交易漏洞

此漏洞是 Twitter 網友 Tree of Alpha 在嘗試 Coinbase 的進階交易平台 (目前為 Beta 階段) 時發現的,其首先準備了兩個分別持有 ETH 及歐元 (EUR) 的錢包,並於交易介面執行 ETH-EUR 的賣單,賣出 0.024 ETH。而從 request API 中可發現完成一筆交易需包含交易對、來源帳戶 ID 及目標帳戶 ID。

「圖:鏈新聞提供」

出於好奇,Tree of Alpha 想查看交易失敗的錯誤訊息,便將交易對改成 BTC-USD,而原先的兩個帳戶 ID 皆無修改。此時,奇怪的事情發生了,原本預計會失敗的交易竟然成功執行了。

「圖:鏈新聞提供」

在沒有持有任何 BTC 的情況下, Tree of Alpha 錢包內的 0.024 ETH 被當作 0.024 BTC 賣出。

「圖:鏈新聞提供」

根據 Coinbase 的漏洞回顧文章,會發生此種情形是因為 API 端點中缺少邏輯驗證檢查,在提出交易要求時系統僅檢查了帳戶餘額,並沒有確認交易對是否匹配,才會造成即使未持有資產依舊能提出交易的情形發生。

隨後,Coinbase 立即修復了漏洞,並贈與 Tree of Alpha 25 萬美元,為 Coinbase 有史以來最高的漏洞獎金。

Coinbse 的漏洞獎金是否過少?

在此事件傳開後,The block 的研究副總 Larry Cermak 表示 Coinbase 的漏洞獎金至少得再高一個水平,畢竟這此漏洞要是被黑帽駭客利用必定會造成市場毀滅性崩跌。若非 Tree of Alpha 本人僅要求此金額,Coinbase 的漏洞賞金沒理由比大多數的 DeFi 協議還要低。

在 The Block 對 Tree of Alpha 的訪談中,也問及了賞金是否過少的問題,他表示若考量到現有的偏見 (DeFi 協議賞金),那勢必是太少,Twitter 網友認為該有 7 位數的賞金。不過 DeFi 協議與於美國上市的中心化交易所對駭客的牽制力有所不同,後者在發生事情時很容易引起司法單位的介入。此外,漏洞賞金的大小也很難界定,必須足以讓灰帽駭客轉為白帽,但也不能大到令所有人都開始嘗試其網站的各種錯誤可能。

不過,根據 Coinbase 提出的漏洞賞金計畫,最棘手的情況下 Coinbase 僅願意支付 5 萬美元的獎金。此次願意特例支付 25 萬美元,也算是變得大方點了。

原文連結

暢行幣圈交易全攻略,專家駐群實戰交流

▌立即加入鉅亨買幣實戰交流 LINE 社群(點此入群
不管是新手發問,還是老手交流,只要你想參與虛擬貨幣現貨交易、合約跟單、合約網格、量化交易、理財產品的投資,都歡迎入群討論學習!

前往鉅亨買幣找交易所優惠


Empty