FX168財經報社(香港)訊 推特網友Tree of Alpha本月早些時候發現,Coinbase Global Inc (NASDAQ:COIN)加密貨幣交易所的進階交易功能存在“核彈級”的程式漏洞,迅速向官方反應并解決問題。但交易所祭出最高25萬美元的賞金后,幣圈卻認為應該支付更高金額,甚至唾棄Coinbase的誠意不足。
(來源:推特)
這項漏洞是Tree of Alpha在嘗試Coinbase進階交易平臺,目前為Beta階段時發現的,其首先準備2個分別持有以太幣(ETH)與歐元(EUR)的錢包,并于交易介面執行ETH-EUR的賣單,賣出0.024 ETH。而從Request API中可發現,完成一筆交易需包含交易對、來源帳戶ID及目標帳戶ID。
(來源:推特)
出于好奇,Tree of Alpha想查看交易失敗的錯誤訊息,便將交易對改成BTC-USD,而原先的兩個帳戶ID皆無修改。此時,奇怪的事情發生,原本預計會失敗的交易竟然成功執行。
(來源:推特)
在沒有持有任何BTC的情況下, Tree of Alpha 錢包內的0.024 ETH被當作0.024 BTC賣出。
(來源:推特)
根據Coinbase漏洞回顧文章,會發生此種情形是因為API端點中缺少邏輯驗證檢查,在提出交易要求時系統僅檢查了帳戶余額,并沒有確認交易對是否匹配,才會造成即使未持有資產依舊能提出交易的情形發生。隨后,Coinbase立即修復漏洞,并贈與Tree of Alpha高達25萬美元,為Coinbase有史以來最高的漏洞獎金。
在此事件傳開后,The Block研究副總Larry Cermak表示,Coinbase的漏洞獎金至少得再高一個水平,畢竟這此漏洞要是被黑帽駭客利用必定會造成市場毀滅性崩跌。若非Tree of Alpha本人僅要求此金額,Coinbase的漏洞賞金沒理由比大多數的去中心化金融(DeFi)協議還要低。
在The Block對Tree of Alpha的訪談中,也問到賞金是否過少的問題,他表示,若考量到現有的偏見,也就是DeFi協議賞金,那勢必是太少。推特網友認為,該有7位數的賞金。
不過,DeFi協議與于美國上市的中心化交易所對駭客的牽制力有所不同,后者在發生事情時很容易引起司法單位的介入。此外,漏洞賞金的大小也很難界定,必須足以讓灰帽駭客轉為白帽,但也不能大到令所有人都開始嘗試其網站的各種錯誤可能。
對整起事件想要有更多詳細信息的讀者,可參考此前文章:
重大漏洞發現!白帽黑客曝光Coinbase進階交易平臺 訂單簿價格竟可任意調整 領導層緊急宣布暫停
【廣告】微信掃碼,領體驗賬戶贏真金白銀!
手機用戶請截屏保存二維碼,用微信掃一掃調取圖片識別。