美國最大上市加密貨幣交易所 Coinbase 運氣非常好,在白帽駭客協助下,躲過足以直接毀滅整間企業的核彈級交易漏洞,這位白帽駭客則獲得 25 萬美元舉報獎金。
白帽駭客是指擁有高超資訊技術,但不以攻擊或竊取資料為目標,相反地透過這些手段,找出企業可能的資安漏洞賺取獎金,是網路世界極高尚的職業。
帳號 Tree of Alpha 的白帽駭客,2 月初就因替加密貨幣交易所 Coinbase 找到漏洞,獲得高達 25 萬美元的獎金(約新台幣 700 萬元),但和他發現的漏洞相比,簡直是滄海一粟。
Coinbase 測試中的進階交易功能,Tree of Alpha 發現使用者兩個帳號出現幣種檢驗錯誤問題,導致可用 A 帳號的貨幣種類交易,但交易單位卻是 B 帳號的數量。
把柴犬幣當比特幣賣
舉例來說,只要在 A 帳號放入 100 顆柴犬幣,價值 0.002 美元;然後用 B 帳號(無資產的比特幣帳戶)建一筆出售 100 顆比特幣對美元的交易,同時手動將交易對象從 B 帳號改為 A 帳號,這時就會觸發系統 API 漏洞,系統無法檢驗帳戶數量是否正確,最終這筆交易就會變成賣掉 100 顆柴犬幣,然後獲得 380 萬美元,約新台幣 1 億元。
「我做的事情很簡單,我發起一筆 0.0243ETH 訂單,但採比特幣對美元交易,結果還真的成交了。」Tree of Alpha 表示,他原本以為只是介面顯示錯誤,檢查 API 和交易紀錄後才確認,系統真的讓他把以太幣當成比特幣賣。
這無疑是毀滅性漏洞,一旦更多使用者發現這個漏洞,等於平空搬走 Coinbase 幾乎全部資產,同時還要賠償交易配對錯誤的用戶損失。
利用漏洞賺錢之前,Tree of Alpha 幾乎第一時間就與 Coinbase 聯繫舉報漏洞,這善意讓他獲得 25 萬美元獎金,但跟可能造成的損害相比,似乎有點便宜?
「其實我們很難真的估算漏洞可能造成的損害,因此我並不覺得獎金太少。」Tree of Alpha 表示,獎金通常是根據損害程度估算,目前並沒有證明這漏洞可穩定再現,因此他並不期望有上百萬美元的獎金。
資安懸賞金額是微妙的平衡,必須夠多才能讓不黑不白的駭客願意舉報;但如果獎金太多,反會導致一堆人瘋狂攻擊,嘗試找到漏洞。
在去中心化時代,Tree of Alpha 也呼籲用戶,雖然區塊鏈技術解決不少「信任」問題,但還有許多細節要注意,例如智慧合約是否夠安全、電子錢包會不會被搶劫或破解,甚至加入的交易所也許只是個騙局。
- A Q&A with the researcher who identified Coinbase’s ‘market-nuking’ trading bug
- Retrospective: Recent Coinbase Bug Bounty Award
(首圖來源:Unsplash)
科技新報粉絲團
加入好友
訂閱免費電子報
