Пользователь Twitter Tree of Alpha рассказал, как он обнаружил «угрожавший взорвать рынок» баг на крупнейшей американской бирже криптовалют Coinbase и получил весьма скромное вознаграждение в $250 000 с учетом серьезности находки.
Как подтвердила сама Coinbase, проблема возникла в ее новом торговом интерфейсе, доступном в ограниченном режиме бета-тестирования. Злоумышленник мог вручную менять запросы, чтобы продавать одну криптовалюту, имея тот же объем в другой криптовалюте.
«Пользователь отправляет рыночную заявку в книгу заявок BTC-USD на продажу 100 BTC, но вручную редактирует свое обращение к API, чтобы указать свой счет SHIB в качестве источника финансирования. В результате в книге заявок BTC-USD появлялась соответствующая рыночная заявка», — пишет биржа.
Tree of Alpha сообщил, что он обнаружил баг, пока экспериментировал с новым интерфейсом Coinbase:
«Я просто использовал 0,0243 ETH, чтобы продать 0,0243 BTC в паре BTC-USD, к которой у меня нет доступа, не имея BTC. Я надеялся, что это баг в пользовательском интерфейсе, но, когда проверил историю, то обнаружил, что мой ордер действительно прошел в активной книге заявок».
Другими словами, Tree of Alpha смог продать BTC на $1 000, имея при этом лишь около $70 в ETH.
«Для последнего этапа тестирования и конечного подтверждения я:
- Отправил 9 млн SHIB на Coinbase;
- Изменил источник финансирования заявки на аккаунт с SHIB;
- Выставил лимитную заявку на продажу 50 BTC при помощи 50 SHIB;
- Попросил людей сказать, что они видят.
Сложно представить себе что-то столь отрезвляющее и пугающее одновременно:
- Ты только что выставил лимитную заявку на продажу 50 BTC;
- Все остальные ее видят.
- Мы никогда не узнаем, что действительно могло бы произойти, если бы злонамеренный хакер попытался воспользоваться данной уязвимостью. Пусть лучше будет так. Хотя я сам мог попытаться разместить огромные лимитные заявки на продажу, ответственное тестирование предполагает, что я должен делать лишь то, что необходимо для оценки серьезности бага», — добавил Tree of Alpha.