💬 Уязвимость Coinbase Trading обнаружена повторным хакером в белой шляпе

Уязвимость Coinbase Trading обнаружена повторным хакером в белой шляпе

Криптовалютная биржа Coinbase была уведомлена об уязвимости в своих торговых системах в пятницу днем ​​хакером под псевдонимом Tree of Alpha и временно приостановила торговлю на своей новой платформе Advanced Trading.

Около 18:00. UTC (13:00 по восточноевропейскому времени) в пятницу @Tree_of_Alpha привлекла внимание руководства Coinbase после того, как написала в Твиттере, что они обнаружили эксплойт, «потенциально разрушающий рынок», и представили отчет HackerOne.

HackerOne – это платформа, на которой проводятся программы вознаграждения за обнаружение ошибок для компаний, включая Coinbase.

«Эта проблема является деликатной и может позволить злоумышленникам отправлять все книги заказов Coinbase по произвольным ценам», — сообщил хакер в белой шляпе CoinDesk через Twitter.

Coinbase — одна из крупнейших бирж криптовалют, и ее ценовые потоки также используются в качестве входных данных для оракулов, которые определяют истинные цены токенов для таких приложений, как протоколы DeFi.

После того, как первоначальный твит вызвал тревогу в криптосообществе, Tree of Alpha опубликовала следующий твит, в котором говорилось: «Фактические хранилища Coinbase (холодные или иные) не затронуты».

В течение двух часов после первоначального твита Tree of Alpha аккаунт службы поддержки Coinbase в Твиттере объявил, что по техническим причинам Coinbase отключает торговлю на своей новой платформе Advanced Trading. Хотя услуга по-прежнему будет доступна, пользователи смогут отменять существующие заказы, но не будут размещать новые заказы. Услуга Advanced Trading доступна только для ограниченной аудитории.

Около 23:00. UTC (18:00 по восточноевропейскому времени), Coinbase написала в Твиттере, что «повторно включила полный спектр услуг для расширенной розничной торговли».

Генеральный директор Coinbase Брайан Армстронг публично выразил признательность Tree of Alpha за помощь, написав: «@Tree_of_Alpha, вы потрясающие — большое спасибо за работу с нашей командой. Мне нравится, как криптосообщество помогает друг другу!»

Это не первый раз, когда Tree of Alpha уведомляет влиятельные криптокомпании об уязвимостях в их кодовой базе.

В прошлом месяце Tree of Alpha связалась с CoinDesk по поводу проблемы, связанной с системой управления сайтом (CMS). Эксплойт позволял сообразительным программистам просматривать заголовки статей CoinDesk, сохраненных как черновики, и принимать торговые решения на основе закрытой информации. С тех пор проблема была решена.

Компания Tree of Alpha также изучила веб-сайт производителя электромобилей Tesla, написав в Твиттере, что компания готова проводить платежи в криптовалюте на своем сайте за день до официального объявления генерального директора Илона Маска от 14 января о том, что товары Tesla можно будет приобрести в Dogecoin. .

Tree of Alpha экспериментирует с веб-сайтами в поисках раскрывающей информации, которую можно использовать для прибыльных сделок. Иногда сообразительный хакер сталкивается с серьезной уязвимостью, о которой нужно сообщить.

«В целом я делаю утечки и работаю над закрытием альфа-версии только тогда, когда она становится слишком распространенной, и становится выгодным исправить ее, чтобы снова выровнять игровое поле», — сказал Tree of Alpha CoinDesk в сообщении Twitter, когда его спросили об этом. их мотивы для публикации в Твиттере альфы.

«Однако [проблема с Coinbase] не была альфой, это был серьезный эксплойт, который мог привести рынок в смятение».