Coinbase「核彈級」程式漏洞，ETH當BTC賣！祭出過往最高25萬漏洞賞金

2022/2/21

Twitter 網友 Tree of Alpha 於本月 12 號發現加密貨幣交易所 Coinbase 的進階交易功能存在「核彈級漏洞」，在迅速向官方反映並解決問題後，Coinbase 祭出高達 25 萬美元的漏洞賞金。不過，社群似乎認為 Coinbase 有些小氣，應支付更高的金額。

內容目錄

Coinbse 嚴重交易漏洞

此漏洞是 Twitter 網友 Tree of Alpha 在嘗試 Coinbase 的進階交易平台 (目前為 Beta 階段) 時發現的，其首先準備了兩個分別持有 ETH 及歐元 (EUR) 的錢包，並於交易介面執行 ETH-EUR 的賣單，賣出 0.024 ETH。而從 request API 中可發現完成一筆交易需包含交易對、來源帳戶 ID 及目標帳戶 ID。

出於好奇，Tree of Alpha 想查看交易失敗的錯誤訊息，便將交易對改成 BTC-USD，而原先的兩個帳戶 ID 皆無修改。此時，奇怪的事情發生了，原本預計會失敗的交易竟然成功執行了。

廣告 - 內文未完請往下捲動

在沒有持有任何 BTC 的情況下， Tree of Alpha 錢包內的 0.024 ETH 被當作 0.024 BTC 賣出。

根據 Coinbase 的漏洞回顧文章，會發生此種情形是因為 API 端點中缺少邏輯驗證檢查，在提出交易要求時系統僅檢查了帳戶餘額，並沒有確認交易對是否匹配，才會造成即使未持有資產依舊能提出交易的情形發生。

隨後，Coinbase 立即修復了漏洞，並贈與 Tree of Alpha 25 萬美元，為 Coinbase 有史以來最高的漏洞獎金。

Coinbse 的漏洞獎金是否過少？

在此事件傳開後，The block 的研究副總 Larry Cermak 表示 Coinbase 的漏洞獎金至少得再高一個水平，畢竟這此漏洞要是被黑帽駭客利用必定會造成市場毀滅性崩跌。若非 Tree of Alpha 本人僅要求此金額，Coinbase 的漏洞賞金沒理由比大多數的 DeFi 協議還要低。

在 The Block 對 Tree of Alpha 的訪談中，也問及了賞金是否過少的問題，他表示若考量到現有的偏見 (DeFi 協議賞金)，那勢必是太少，Twitter 網友認為該有 7 位數的賞金。不過 DeFi 協議與於美國上市的中心化交易所對駭客的牽制力有所不同，後者在發生事情時很容易引起司法單位的介入。此外，漏洞賞金的大小也很難界定，必須足以讓灰帽駭客轉為白帽，但也不能大到令所有人都開始嘗試其網站的各種錯誤可能。