Исследователь считает что выплата была слишком скромной.

Об уязвимости Tree of Alpha сообщил компании вечером 11 февраля. Он написал, что «ему нужно срочно поговорить с управляющими или разработчиками Coinbase, так как проблема не может ждать». Специалисты биржи связались с хакером и начали работу над устранением уязвимости.

Уязвимость была обнаружена в новой торговой функции в бета-версии площадки. Хакер, используя два аккаунта на бирже, мог выставлять ордера на продажу криптовалюты, используя балансы в других монетах. То есть, например, он мог «продать» 100 BTC, хотя на его счету было бы лишь 100 SHIB.

«Пользователь посылал рыночный ордер в паре BTC/USD на продажу 100 BTC, но с помощью ручной корректировки запроса в API платформы использовал аккаунт с балансом в SHIB в качестве источника средств. Соответственно, в книге ордеров появился бы ордер на продажу 100 биткоинов», – пишут представители биржи.

За обнаружение уязвимости Coinbase выплатила Tree of Alpha награду в $250 000. Хакер отметил, что обнаружил уязвимость случайно – ему удалось продать 0.0243 BTC, используя аналогичное количество ETH на своем кошельке. Он выяснил, что ордер действительно был исполнен движком площадки, и связался с биржей. . Эксперты раскритиковали такое низкое вознаграждение, особенно учитывая масштабы взлома и возможные потери, которые могла бы понести биржа в результате взлома. За подобные уязвимости некоторые Defi протоколы предлагают миллионы долларов.

Источник: securitylab