Coinbase在官方博客發布針對此前漏洞事件的調查報告,稱在2022年2月11日收到了第三方研究人員的報告,稱他們發現了Coinbase交易界面的缺陷。 Coinbase及時調動安全事件響應團隊對漏洞進行識別和修復,在不影響客戶資金的情況下解決了系統底層問題。 Coinbase表示,該錯誤的根本原因是零售經紀API端點中缺少邏輯驗證檢查,這允許用戶使用不匹配的源賬戶將交易提交到特定訂單簿。此API僅由零售高級交易平台使用,該平台目前處於有限測試版中。舉例而言,假如一個用戶有一個擁有100 SHIB的帳戶,以及一個擁有0 BTC的第二個帳戶,他可以通過向BTC-USD訂單簿提交市價單賣出100 BTC,但手動編輯其API請求以指定其SHIB賬戶作為資金來源,從而可以在BTC-USD訂單簿上賣出100 BTC的市價單。為此,Coinbase表示向披露者支付了25萬美元的漏洞賞金。
dark