Hacker Bug Coinbase Membeli 50 Bitcoin Untuk 50 Shiba Inu

　　Hacker Bug Coinbase Membeli 50 Bitcoin Untuk 50 Shiba Inu

　　Peretas White Hat adalah bagian penting dari pasar crypto dan seluruh industri online, sering kali menemukan cacat yang dapat mengakhiri perusahaan.

　　Baru-baru ini seorang peretas yang dikenal sebagai “Pohon Alpha” memenangkan hadiah Coinbase karena menemukan dan melaporkan bug yang dapat sangat merugikan Coinbase.

　　Peretas itu sendiri menceritakan kasus itu di akun Twitter-nya, di mana dia berbicara tentang bagaimana dia mendapatkan “karunia bug terbesar dalam sejarah.” Tree of Alpha menerima total $250K untuk mengidentifikasi bug yang fatal.

　　“Bagaimana cacat dalam fitur Perdagangan Lanjutan yang baru akan memungkinkan pengguna jahat untuk menjual BTC atau koin lainnya tanpa memilikinya, dan bagaimana kecepatan reaksi Coinbase pada Super Bowl Friday mencegah kemungkinan krisis.”

　　Tree of Alpha menyatakan bahwa mereka sedang “mengutak-atik” platform perdagangan Coinbase canggih yang baru untuk memahami bagaimana pesanan dikirim dan dieksekusi. Dia mengatakan dia memesan pasangan ETH/EUR dan memperhatikan bahwa API memerlukan identifikasi produk, sumber, dan akun penerima.

　　image source: https://twitter.com/Tree_of_Alpha/

　　Saat mencoba mengubah ID ini, dia menyadari ada sesuatu yang salah dan bisa menjadi sesuatu yang berpotensi berbahaya.

　　“Untuk mendapatkan pesan gagal, saya mengubah product_id menjadi BTC-USD tetapi tidak mengubah dua id akun (sumber adalah dompet ETH saya, target adalah dompet EUR saya). Mengharapkan kesalahan karena akun saya tidak diizinkan untuk memperdagangkan pasangan BTC-USD, pesanan hanya … berjalan.”

　　Dia bisa menukar ID ini untuk dijual di buku pesanan di mana dia tidak memiliki koin. Dia bahkan menguji dengan 0,0243 ETH untuk menjual 0,243 BTC, menukar informasi ini secara berurutan.

　　Saya baru saja menggunakan 0,0243 ETH untuk menjual 0,0243 BTC pada pasangan BTC-USD, pasangan yang tidak dapat saya akses tanpa memegang BTC apa pun. Berharap ini adalah bug UI, saya memeriksa isi pesanan, dan mereka cocok dengan API: perdagangan itu terjadi di buku pesanan langsung.

　　Secara teori, dia bisa menggunakan bug ini untuk membuat pesanan dalam mata uang yang tidak dia miliki di dompetnya. Dia bahkan melakukan percobaan kedua menggunakan cryptocurrency SHIB.

　　Dia mengirim 9 juta SHIB ke akun Coinbase-nya dan juga bertukar informasi pesanan untuk membuat pesanan jual seharga 50 bitcoin hanya dengan menggunakan 50 SHIB. Dia bahkan bertanya kepada orang-orang terdekat apakah mereka bisa melihat pesanan pembelian, dan itu ada.

　　Untuk pengujian terakhir saya sebelum melaporkan ini untuk memastikan, saya mengirim 9M SHIB ke akun Coinbase saya -mengubah id akun sumber ke akun SHIB saya di Coinbase -menempatkan pesanan penjualan batas 50 BTC menggunakan 50 SHIB -tanyakan orang-orang di sekitar saya apakah mereka , juga, melihatnya.

　　Dan sejujurnya, tidak banyak hal yang cukup serius namun menakutkan seperti yang disadari: -Anda baru saja memasang batas penjualan 50 BTC menggunakan 50 SHIB. -semua orang bisa melihatnya. Lima menit kemudian, saya mengirim tweet awal ini.

　　Tree of Alpha mengatakan bahwa karena dukungan komunitas, tim Coinbase Dev menghubunginya dan membatalkan semua pesanan pasar untuk memperbaiki bug dalam waktu tiga menit.

　　Berkat tanggapan komunitas yang luar biasa termasuk wajah-wajah terkemuka seperti @cobie, @samczsun, @FEhrsam, @SecurityGuyPhil, dan @vishalkgupta, saya dengan cepat mendapatkan perhatian Coinbase. Hampir 3 menit setelah laporan HackerOne saya dikirim, saya mendapat jawaban dari tim Dev.

　　Setelah dengan cepat menjelaskan eksploitasi dan menyediakan bukti konsep, saya bersikeras bagaimana Coinbase perlu segera menghentikan semua Perdagangan Lanjutan, termasuk. Dan yang paling penting, posting pesanan. Kurang dari 30 menit kemudian, semua pasar di sana dalam mode hanya-batal.

　　Konsekuensinya akan sangat buruk dan di luar imajinasi, jika ada peretas topi hitam yang menemukan itu, tetapi berkat Tree of Alpha, dia tidak hanya menyelamatkan Coinbase tetapi semua pedagang yang mempercayai keamanan Coinbase dan memperdagangkan miliaran dolar di atasnya.