Белый хакер обнаружил уязвимость в платформе для розничного трейдинга Coinbase

Криптовалютная биржа Coinbase приостановила торговлю на платформе для розничных клиентов Advanced Trading после сообщения белого хакера об обнаруженной уязвимости.

For technical reasons, we are disabling retail advanced trading. This service will continue to be accessible, but new orders cannot be placed at this time. Existing orders are in cancel only mode.

— Coinbase Support (@CoinbaseSupport) February 11, 2022

В пятницу, 11 февраля, хакер под ником Tree of Alpha через Twitter пытался связаться с разработчиками или руководством Coinbase.

"Я отправляю отчет HackerOne, но боюсь, нельзя ждать. Не могу сказать больше, но это потенциально уничтожит рынок", — написал он.

HackerOne — платформа для программ вознаграждения за поиск уязвимостей.

Sounds like our team is in touch, thx for connecting with them, and we’ll investigate.

— Brian Armstrong - barmstrong.eth (@brian_armstrong) February 11, 2022

Судя по ответу сооснователя и CEO Coinbase Брайана Армстронга, специалисты биржи вышли на хакера в течение часа после его твита: 

"Похоже, наша команда на связи, спасибо, что обратились к нам, а мы проведем расследование".

Заявление о приостановке работы Advanced Trading последовало через несколько часов. Торговлю на платформе команда возобновила к вечеру 12 февраля.

We’ve re-enabled full service for retail advanced trading. Greatly appreciate the patience and understanding of those retail advanced trading customers using our exciting new platform prior to full-public launch. Customer funds remain safe and were not impacted. https://t.co/tACcyQPMpZ

— Coinbase Support (@CoinbaseSupport) February 11, 2022

В Coinbase заверили, что другие сервисы уязвимость не затронула, никакие средства клиентов не пострадали.

"[Работа] Advanced Trading возобновлена и я убедился, что эксплойт исправлен в соответствии с рекомендациями. Полный тред об уязвимости и о том, как быстрая реакция Coinbase позволила избежать серьезного ущерба компании и рынку [опубликую], как только мне разрешат", — отметил Tree of Alpha.

Advanced Trading is resumed, and I have verified that the exploit has been patched as recommended.

Full thread on the vuln and how Coinbase's swift response avoided some serious company & market damage as soon as I'm allowed (hopefully next week).

Good weekend to all. pic.twitter.com/pguInKORwW

— Tree of Alpha (@Tree_of_Alpha) February 12, 2022

Напомним, в августе 2021 года белый хакер Сэм Сан помог устранить уязвимость в DeFi-проекте SushiSwap. Баг грозил потерей 109 000 ETH.