为Coinbase找到核弹级程序漏洞,白帽黑客谈「抓漏」过程

2023-03-08 分类:区块链技术 阅读()

匿名研究人员Tree of Alpha 在Coinbase 的一个测试版交易功能中发现了他认为会造成巨大市场冲击的漏洞(bug),后续Coinbase 向该研究人员颁发了25 万美元的漏洞赏金。区块链媒体The Block 采访这名白帽黑客,谈到如何发现该漏洞,以及其可能造成的市场风险。

可造成市场冲击的漏洞

虽然区块链领域聚焦在加密货币市场的交易和投资公司的成就(和损失),但仍有一个群体在幕后发挥着不可或缺的安全作用:加密货币漏洞调查员。从白帽黑客到研究人员,这群大多是匿名的工程师和分析师审视区块链和API(应用程式介面),在为市场提供动力的系统当中找到可能有害的漏洞。

匿名研究人员Tree of Alpha 在Coinbase 测试版交易功能中发现了一个漏洞,只要用户在另一个帐户中拥有相同数量的加密货币,他们就能利用漏洞在帐户内出售另一种加密货币,例如:允许用户使用100 SHIB(柴犬币)出售100 BTC(比特币)。

Tree of Alpha 说明:

我刚刚用0.0243 ETH(以太币)在BTC/USD 交易对上卖出了0.0243 BTC,我没有使用这个交易对,没有持有任何比特币。希望这是一个用户界面漏洞,我检查了订单的填补情况,它们与API 相符,这些交易真的在即时的订单簿上发生了。

Tree of Alpha 于2 月11 日推文表示发现了这个漏洞,Coinbase 最终为他的付出提供25 万美元的奖励。

探究漏洞被忽视的原因

区块链媒体The Block 采访了这位研究人员,询问有关他的背景、Coinbase 的漏洞以及它对加密货币的采用意味着什么。Tree of Alpha 表示,他在2017 年底左右接触加密货币,当时是一位刚毕业的软体工程师。

他花了2 年时间透过编写数百个无法可靠地赚钱的交易机器人来学习更多的开发知识,之后投入研究交易讯息和机器人,并找到获取资讯的最快方法。而大部分漏洞都是在寻找可交易资讯时发现的,这个方法适用于Tesla(特斯拉)采用Doge(狗狗币)的泄露、区块链媒体CoinDesk 的泄露和本次Coinbase 的漏洞。

Tree of Alpha 表示他不了解漏洞为何会被忽略,并描述发现该漏洞的过程:

当为一个接收来源帐户、目标帐户和产品ID 的API 编写测试时,我首先要确定的是这个人帐户中的数量确实超过委托数量,Coinbase 有进行这个部分。第二是确认,以『比特币/美元』交易对为例,『来源帐户』是一个『比特币』帐户,『目标帐户』是一个『美元』帐户,这个部分被遗漏了,我对其原因的任何猜测都只是猜测。

今年一月,在特斯拉正式宣布开放Doge 支付之前,就有网友提前在特斯拉网页程式码上找到线索。Tree of Alpha 表示,虽然每个开发人员都稍微了解最佳做法,但残酷的事实是,为了节省时间而采取了很多捷径,一家价值8,900 亿美元的公司在实际环境中测试支付整合,这个状况应该足以说明其他问题。

对漏洞赏金的想法

谈到Coinbase 的25 万奖励与DeFi 协议动辄数百万美元的悬赏金相比,Tree of Alpha 表示:

DeFi 协议对黑客的作用很小,因为所有的行动都可以在没有任何KYC 的情况下发生,而且存在某种『代码即法律』的文化,一些人拥护这个观点。Coinbase 则不同,它是一个在美国上市的中心化交易所,执行KYC(Know Your Customer)措施,可以很容易地要求执法部门介入。

Tree of Alpha 表示,赏金必须有足够的规模让灰帽黑客变成白帽黑客,但又不能大到让数百人开始到处试探,根据推特上的整体反应,人们期待着7 位数的赏金。而他自己没有期待那么多。他认为赏金的大小与问题的严重性成正比,而交易所可以透过提供较小的赏金来表明可能的损失没有那么高。

漏洞可能如何被利用

关于这次漏洞,Tree of Alpha 推演了一种被发现的可能性最小,又能获得最高报酬的方法:

在非常接近最后成交价格的地方设置巨大的比特币卖墙(sell walls),以便让市场陷入恐慌。当这种作法扩散后,只有很小的部分会真正成交,而坏人可以透过在其他交易所做空,从随之而来的混乱中获得丰厚的利润。

他相信这个漏洞的大部分损失是在市场本身,而不是在Coinbase 客户的持仓上。交易所的风险系统会启动并停止所有提款,Coinbase 可以在遭遇打击之后进行内部回溯。

当被问及这次漏洞是否能让新用户继续信任中心化平台,Tree of Alpha 表示:

无论人们多么喜欢吹捧加密货币不可窜改的去中心化性质,事实上,我们仍然需要对许多相关行为者信任,信任你使用的智能合约没有任何漏洞,信任你的钱包App 不会失控,信任CEX(中心化交易所)的安全等等。你还需要考虑到,中心化实体比去中心化项目更有可能弥补漏洞带来的损失。加密货币的魅力在于你可以选择,将你的资金托付给交易所,或自行保管并承担由此带来的一切责任。

本文链接地址:https://www.wwsww.cn/jishu/11381.html
郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如作者信息标记有误,请第一时间联系我们修改或删除,多谢。

标签:

相关文章阅读

什么是 EIP-4844?为什么需要 EIP-4844?什么是 EIP-4844?为什么需要 EIP-4844?
为什么计算机中的数据是以二进制形为什么计算机中的数据是以二进制形
区块链交易为什么要收gas费用什么意区块链交易为什么要收gas费用什么意
什么是Deepfake?Deepfake成为交易所KYC一什么是Deepfake?Deepfake成为交易所KYC一