柴犬幣當比特幣賣 Coinbase被找出核彈級漏洞

【民眾網編輯劉家瑜/綜合報導】

那斯達克上市的加密貨幣交易所Coinbase頒發出公司歷來最高的漏洞賞金25萬美元，根據區塊鏈媒體The Block報導，一名匿名研究人員Tree of Alpha在測試版交易功能中，發現可能造成市場衝擊的核彈級漏洞（bug），只要用戶在另一個帳戶中擁有相同數量的加密貨幣，他們就能利用漏洞在帳戶內出售另一種加密貨幣，例如：允許用戶使用100 SHIB（柴犬幣）出售 100 BTC（比特幣）。

Tree of Alpha說明，起初他決定探索新的高級交易平臺，以了解如何發送訂單以及成功的訂單長得如何。他下了一個ETH-EUR（以太幣-歐元）的訂單，並發送的請求。從 request API 中可發現完成一筆交易需包含交易對、來源帳戶 ID 及目標帳戶 ID。

出於好奇，Tree of Alpha 想查看交易失敗的錯誤訊息，他把產品ID改成BTC-USD（比特幣-美元），但沒有改變兩個帳戶的ID（從以太幣錢包發到歐元錢包）。他原預期帳戶不允許交易BTC-USD而出現錯誤，但訂單卻成功通過。在沒有持有任何 BTC 的情況下， Tree of Alpha 錢包內的 0.024 ETH 被當作 0.024 BTC 賣出。

關於漏洞的原因，他猜測Coinbase未進行交易對確認，在快速解釋如何利用漏洞並提供概念證明後，他堅持認為 Coinbase 需要立即停止所有高級交易平臺，尤其是發出訂單的功能。Coinbase 立即修復了漏洞，並贈與 Tree of Alpha 25 萬美元，此為 Coinbase 有史以來最高的漏洞獎金。

網友們紛表示Coinbase 的漏洞賞金過少，但Tree of Alpha表示漏洞賞金的大小很難界定，必須足以讓灰帽駭客變白帽駭客，但也不能大到令所有人都開始嘗試其網站尋找漏洞。他也相信，一旦漏洞被有心人利用，大部分損失還是在市場本身，而不是在 Coinbase 客戶的持倉。因為交易所的風險系統會啟動並停止所有提款，Coinbase 可以在遭遇打擊之後進行內部回溯。

延伸閱讀：

鄭重聲明：本文版權歸原作者所有，轉載文章僅為傳播信息之目的，不構成任何投資建議，如有侵權行為，請第一時間聯絡我們修改或刪除，多謝。