黑客是加密货币市场以及整个计算机和系统行业的重要组成部分,他们经常发现可能导致公司破产的缺陷。 最近,一位被称为“阿尔法之树”的黑客因发现并报告可能损害加密货币市场的漏洞而获得了奖金。
黑客本人在他的推特账户上讲述了这个案子,他谈到了他是如何获得“历史上最大的漏洞赏金”的。 Tree of Alpha 共获得 25 万美元,约合 120 万雷亚尔。
“新的高级交易功能中的一个缺陷如何让恶意用户能够在没有 BTC 或任何其他加密的情况下出售它们。 以及 Coinbase 的快速反应如何避免了潜在的危机。”
Coinbase 的“有史以来最大的漏洞赏金”
新的高级交易功能中的一个缺陷如何允许恶意用户在不拥有它们的情况下出售 BTC 或任何其他代币,以及 Coinbase 在周五超级碗的反应速度如何避免可能的危机。
赏金:250,000 美元 pic.twitter.com/Y91M48pCcI
– 阿尔法之树 (@Tree_of_Alpha) 2022 年 2 月 19 日
Tree of Alpha 表示,它正在“修补”新的高级交易平台,以了解订单的发送和执行方式。 他说他在 ETH/EUR 对下订单,并注意到 API 需要产品标识、来源和收件人帐户。
正是在尝试更改这些 ID 时,他才意识到出了点问题,并且可能存在潜在危险。
“为了收到错误消息,我将产品 ID 更改为 BTC-USD,但没有更改账户 ID(来源是我的 ETH 钱包,收件人账户是我的欧元钱包)。 我预计会出现错误,因为我的账户不允许交易 BTC-USD 对,但是……订单成功了。” 在 Twitter 上报道了 Alpha 之树。
也就是说,他可以交易所这些 ID 以在他没有硬币的订单簿中出售。 他甚至用 0.0243 ETH 测试卖出 0.243 BTC,按顺序交易所这些信息。
“我希望这是一个视觉错误。 我检查了它们与 API 匹配的订单:这些交易实际上已经执行。”
从理论上讲,他可以利用这个漏洞以钱包中没有的货币创建订单。 他甚至进行了第二次实验,这次使用的是 SHIB 加密货币。
他向他的 Coinbase 账户发送了 900 万 SHIB,并同样交易所了订单信息,以仅使用 50 SHIB 创建 50 比特币的卖单。 他甚至询问附近的人是否可以看到采购订单,并且它确实存在。
“老实说,没有什么事情比意识到这一点更严重和可怕:
– 你刚刚使用 50 SHIB 下了 50 BTC 的卖单。
——每个人都能看到。”
在发现错误后不久,他联系了 Coinbase 安全团队。 该漏洞很快得到修复,他们为黑客的工作支付了 250,000 美元。
如果恶意黑客能够接触到这个缺陷,他可能会对加密货币市场造成巨大破坏,在 Coinbase 上窃取数百万美元,混淆流动性计算,并可能造成破坏性的区块链反应。
幸运的是,阿尔法之树对偷窃不感兴趣。
内容搜集自网络,整理者:BTCover,如若侵权请联系站长,会尽快删除。
