儘管已經有大量的墨跡突出了加密貨幣市場交易和投資公司的成就(和損失),但仍有一個群體在幕後扮演著不可或缺的安全角色:加密貨幣漏洞偵探。
從白帽黑客到研究人員,這群大多是匿名的編碼人員和分析師掃描區塊鍊和API,以發現驅動加密貨幣市場的系統中可能存在的有害漏洞。
匿名賬戶Tree of Alpha 在新交易功能中發現的錯誤提供了最新示例。他們在測試版功能中發現了一個錯誤,只要用戶在另一個賬戶中擁有相同數量的加密貨幣,用戶就可以在一個賬戶中出售加密貨幣——例如,允許某人以100 SHIB 出售100 比特幣。
“我只是用0.0243 ETH 賣出了BTC-USD 對上的0.0243 BTC,這是我無法訪問的一對,沒有持有任何BTC,”Alpha 之樹解釋說。 “希望這是一個UI 錯誤,我檢查了訂單的填充情況,它們與API 匹配:這些交易確實發生在實時訂單簿上。”
阿爾法之樹 描述 當他在2 月11 日訪問Twitter 時,這個漏洞被稱為“市場核彈”。 Coinbase 最終 獎勵 研究人員為他的努力付出了250,000 美元。
為了了解更多信息,The Block 坐下來進行研究,詢問他的背景、Coinbase 漏洞以及它對加密貨幣採用的意義。
以下是我們與阿爾法之樹的對話,為清晰和簡潔而編輯:
Frank Chaparro:你是如何涉足這個領域並發現這些類型的漏洞的?
Tree of Alpha:我是在2017 年底左右開始從事加密貨幣行業的,作為一名剛畢業的軟件工程師,我基本上是用幾分錢買頂的。
我花了2 年時間通過編寫數百個永遠不會可靠賺錢的交易機器人來學習更多關於開發的知識,然後最終轉向新聞交易和機器人,並找到了獲取信息的最快方法。我發現的大多數漏洞都是在尋找可交易信息時進行的。這適用於Tesla + Doge 漏洞、CoinDesk 漏洞和最近的Coinbase 漏洞。
FC:250,000 美元的獎勵似乎很輕——考慮到數量級——以及一些DeFi 協議提供數百萬美元的事實。你覺得這個數額合適嗎?
ToA:很難說要考慮的因素的數量。如果你考慮可能的偏見?當然,這似乎很輕,儘管我們無法確切知道可能造成的損害程度。
DeFi 協議對黑客的影響力很小,因為所有行為都可以在沒有任何KYC 的情況下發生,並且有些人堅持某種“代碼就是法律”的文化。 Coinbase 不同:它是一家在美國上市的中心化交易所,執行KYC 措施,可以很容易地要求執法部門介入。
賞金必須足夠大,才能將灰帽子變成白帽子,但又不能大到足以讓數百人開始到處戳。根據Twitter 的整體反應,看起來預計會有7 位數的賞金。
我沒想到這麼多:賞金的大小與問題的嚴重程度成正比,而且由於我沒有利用它,因此交易所可以聲明通過提供較小的賞金可能造成的損失並沒有那麼高。
FC:你認為這對加密貨幣的新進入者意味著什麼,他們可以信任中心化場所嗎?
ToA:無論有多少人喜歡吹捧加密貨幣神聖不可侵犯的去中心化性質,事實仍然是我們仍然需要信任許多相關參與者:相信你使用的智能合約沒有任何漏洞,相信你的錢包應用程序沒有流氓,相信CEX 是安全的,等等。
你還需要考慮到,中心化實體比去中心化項目更有可能彌補漏洞利用造成的損失。加密貨幣的美妙之處在於你可以選擇:將你的資金委託給交易所,或自行保管,並對所涉及的一切負責。
FC:你認為這個問題是如何被忽視的?
ToA:這很難:我不知道。在為接受源帳戶、目標帳戶和產品ID 的API 編寫測試時,我首先要確定的是該人的帳戶中確實有多個“數量”。 Coinbase 有這部分。
第二個是確保,例如“BTC-USD”產品的銷售,“源賬戶”是“BTC”賬戶,“目標賬戶”是“USD”賬戶。那部分不見了,我對為什麼會猜測的任何猜測。
雖然每個開發人員都至少模糊地知道最佳實踐,但嚴酷的事實是,為了節省時間,人們採取了很多捷徑。如果特斯拉,一家價值8900 億美元的公司,在實時環境中測試支付集成,那應該足以告訴你其他人的情況。
FC:如果被利用,你能估計出潛在的損害嗎?
ToA:我不能,這取決於非常具體的Coinbase 內部。
在我看來,被發現的機會最小的最高獎勵是在非常接近最後交易價格的地方設置巨大的BTC 賣出牆,以使市場陷入恐慌。隨著故事的傳播,一小部分實際上會被填滿,而一個壞演員可能會通過做空其他交易所從隨後的混亂中獲得豐厚的利潤。
總而言之,有了這個漏洞,我相信大部分損失都來自市場本身,而不是Coinbase 客戶持有的那麼大。風險系統會啟動,停止所有提款,Coinbase 可能會在打擊後進行內部回滾。
© 2022 The Block Crypto, Inc. 保留所有權利。本文僅供參考。它不是提供或打算用作法律、稅務、投資、財務或其他建議。
聲明:以上內容採集自THEBLOCKCRYPTO,作品版權歸原創作者所有內容均以傳遞信息為目的,不代表本站同意其觀點,不作為任何投資指導。幣圈有風險,投資需謹慎