美国最大的上市加密货币交易所Coinbase运气非常好,在白帽黑客的协助下,躲过了一个足以直接毁灭整家企业的核弹级交易漏洞,而这位白帽黑客则获得了25万美元的举报奖金。
白帽黑客是指拥有高明的信息技术,但他们不以攻击或窃取资料为目标,相反地,他们通过这些手段,找出企业可能的安全漏洞来赚取奖金,是网络世界里极为高尚的一种职业。
账号名为Tree of Alpha的白帽黑客,在这个月初就因为替加密货币交易所Coinbase找到漏洞,而获得了高达25万美元的奖金,但和他发现的漏洞相比,这简直是沧海一粟。
在Coinbase正在进行测试的高端交易功能中,Tree of Alpha发现,用户的两个账号中,出现了币种检验错误问题,导致他可以使用A账号内的货币种类交易,但交易的单位却是B账号内的数量。
把柴犬币当比特币卖
举例来说,只要在A账号内放入100颗柴犬币,价值为0.002美元;然后用B账号(无资产的比特币账户)发出一笔出售100颗比特币对美元的交易,同时手动将交易对象从B账号改为A账号,这时就会触发系统的API漏洞,系统无法检验账户内数量是否正确,最终这笔交易就会变成卖掉100颗柴犬币,然后获得380万美元。
“我做的事情很简单,我发起一笔0.0243 ETH的订单,但是采用的是比特币对美元的交易,结果还真的成交了。”Tree of Alpha表示,他原本以为只是接口显示错误,检查API和交易记录后才确认,系统真的让他把以太币当成比特币来卖。
这无疑是一个毁灭性的漏洞,一旦更多用户发现这个漏洞,等于可以凭空搬走Coinbase几乎全部的资产,同时还要赔偿交易配对错误的用户损失。
在利用漏洞赚钱之前,Tree of Alpha几乎第一时间就与Coinbase联系,举报了这个漏洞,这个善意让他获得了25万美元奖金,但跟可能造成的损害相比,似乎有点便宜?
“其实我们很难真的去估算这个漏洞可能造成的损害,因此我并不觉得奖金给的太少。”Tree of Alpha表示,奖金通常是根据损害程度来推算,目前我们并没有证明这个漏洞可以稳定重现,因此他并不期望有上百万美金的奖励。
安全悬赏金额是一个微妙的平衡,它必须够多,才足以让不黑不白的黑客愿意举报;但如果奖金太多,反而会导致一堆人疯狂攻击,尝试找出漏洞。
在去中心化时代,Tree of Alpha也呼吁用户,虽然区块链技术替我们解决了不少“信任”问题,但还有许多细节要注意,例如你使用的智慧合约是否够安全、你的电子钱包会不会被抢劫或破解、甚至你加入的交易所,也许根本是个骗局。
(首图来源:Unsplash)