Приоритетом номер один для Coinbase является соблюдение наших обязательств по обеспечению безопасности перед нашими клиентами. 11 февраля 2022 года мы получили отчет от стороннего исследователя, в котором указывалось, что они обнаружили недостаток в торговом интерфейсе Coinbase. Мы оперативно мобилизовали нашу группу реагирования на инциденты безопасности, чтобы выявить и исправить ошибку, а также устранили основную системную проблему без какого-либо ущерба для средств клиентов.
В этом сообщении в блоге представлена более подробная информация о хронологии событий, связанных с ошибкой. отчет, а также объяснение самой ошибки и шагов, которые мы предприняли для ее устранения и предотвращения ее повторения.
Хронология
(обратите внимание, все события произошли 11 февраля 2022 года, время указано по тихоокеанскому времени)
- 10:16: член криптосообщества сообщает в Твиттере, что обнаружил серьезную ошибку в торговле Coinbase. интерфейса и запрашивает контакты в команде Coinbase Security.
- 11:00: на основе ограниченной исходной информации, предоставленной посредниками, Coinbase Security объявляет об инциденте и мобилизует инженерные ресурсы, чтобы начать тестирование всех торговых интерфейсов, чтобы определить достоверность предполагаемой ошибки.
- 11:21: крипто-исследователь подает отчет об уязвимости через Hack erOne, платформа Coinbase для поиска ошибок, указывающая на то, что ошибка связана с конкретным API для расширенной розничной торговли. Инженеры Coinbase также завершают проверку всех других пользовательских интерфейсов и API-интерфейсов Coinbase Exchange и определяют, что они не затронуты.
- 11:42 утра: инженеры Coinbase могут воспроизвести ошибку и платформу Retail Advanced Trading. переводится в режим только отмены, запрещающий новые сделки.
- 16:01: проверено и выпущено исправление, устраняющее инцидент.
Основная причина
Основной причиной ошибки была отсутствующая проверка логики в конечной точке API Retail Brokerage, которая позволяла пользователю отправлять сделки в определенную книгу заказов, используя несоответствующую исходную учетную запись. Этот API используется только нашей платформой Retail Advanced Trading, которая в настоящее время находится в ограниченной бета-версии.
В качестве примера:
- У пользователя есть учетная запись со 100 SHIB. и второй аккаунт с 0 BTC.
- Пользователь отправляет рыночный ордер в книгу ордеров BTC-USD на продажу 100 BTC, но вручную редактирует свой запрос API, чтобы указать свою учетную запись SHIB в качестве источника средств. .
- Здесь служба проверки будет проверять, достаточно ли средств на исходном счете для завершения сделки, но не соответствует ли исходный счет предполагаемому активу для отправки сделки.
- В результате на Coinbase Exchange будет размещен рыночный ордер на продажу 100 BTC в книге заказов BTC-USD.
Существовали смягчающие факторы, которые ограничили бы влияние этот недостаток, если бы он был использован в масштабе. Например, на Coinbase Exchange есть автоматические выключатели для защиты цен, а наша команда по надзору за торговлей постоянно следит за состоянием наших рынков и аномальной торговой активностью.
Заключение
Благодарим исследователя, ответственно раскрывшего информацию. этой проблемы, Coinbase смогла исправить эту ошибку за считанные часы и окончательно определить, что она никогда не использовалась злонамеренно. Мы также внедрили дополнительные проверки, чтобы гарантировать, что это не повторится.
Coinbase решительно поддерживает независимые исследования в области безопасности, и когда эти исследователи обнаруживают серьезные проблемы, мы хотим, чтобы они получали соответствующее вознаграждение. В результате мы выплачиваем самую большую награду за это открытие: 250 000 долларов США.
Мы приветствуем будущие заявки от этого исследователя и других через нашу программу HackerOne: https://hackerone.com/coinbase.
Ретроспектива: недавняя награда Coinbase Bug Bounty изначально была опубликована в блоге Coinbase на Medium, где люди продолжают обсуждение, выделяя эту историю и отвечая на нее.
