匿名研究人員 Tree of Alpha 在 Coinbase 的一個測試版交易功能中發現了他認為會造成巨大市場衝擊的漏洞(bug),後續 Coinbase 向該研究人員頒發了 25 萬美元的漏洞賞金。區塊鏈媒體 The Block 採訪這名白帽駭客,談到如何發現該漏洞,以及其可能造成的市場風險。
可造成市場衝擊的漏洞
雖然區塊鏈領域聚焦在加密貨幣市場的交易和投資公司的成就(和損失),但仍有一個群體在幕後發揮著不可或缺的安全作用:加密貨幣漏洞調查員。從白帽駭客到研究人員,這群大多是匿名的工程師和分析師審視區塊鏈和 API(應用程式介面),在為市場提供動力的系統當中找到可能有害的漏洞。
匿名研究人員 Tree of Alpha 在 Coinbase 測試版交易功能中發現了一個漏洞,只要用戶在另一個帳戶中擁有相同數量的加密貨幣,他們就能利用漏洞在帳戶內出售另一種加密貨幣,例如:允許用戶使用 100 SHIB(柴犬幣)出售 100 BTC(比特幣)。
Tree of Alpha 說明:
我剛剛用 0.0243 ETH(以太幣)在 BTC/USD 交易對上賣出了 0.0243 BTC,我沒有使用這個交易對,沒有持有任何比特幣。希望這是一個用戶界面漏洞,我檢查了訂單的填補情況,它們與 API 相符,這些交易真的在即時的訂單簿上發生了。
Tree of Alpha 於 2 月 11 日推文表示發現了這個漏洞,Coinbase 最終為他的付出提供 25 萬美元的獎勵。
Anyone here can get me a direct line with someone at @coinbase , preferably management or dev team, possibly @brian_armstrong himself?
I’m submitting a hacker1 report but I’m afraid this can’t wait. Can’t say more either, this is potentially market-nuking.
DMs open.
— Tree of Alpha (@Tree_of_Alpha) February 11, 2022
探究漏洞被忽視的原因
區塊鏈媒體 The Block 採訪了這位研究人員,詢問有關他的背景、Coinbase 的漏洞以及它對加密貨幣的採用意味著什麼。Tree of Alpha 表示,他在 2017 年底左右接觸加密貨幣,當時是一位剛畢業的軟體工程師。
他花了 2 年時間透過編寫數百個無法可靠地賺錢的交易機器人來學習更多的開發知識,之後投入研究交易訊息和機器人,並找到獲取資訊的最快方法。而大部分漏洞都是在尋找可交易資訊時發現的,這個方法適用於 Tesla(特斯拉)採用 Doge(狗狗幣)的洩露、區塊鏈媒體 CoinDesk 的洩露和本次 Coinbase 的漏洞。
Tree of Alpha 表示他不了解漏洞為何會被忽略,並描述發現該漏洞的過程:
當為一個接收來源帳戶、目標帳戶和產品 ID 的 API 編寫測試時,我首先要確定的是這個人帳戶中的數量確實超過委託數量,Coinbase 有進行這個部分。第二是確認,以『比特幣/美元』交易對為例,『來源帳戶』是一個『比特幣』帳戶,『目標帳戶』是一個『美元』帳戶,這個部分被遺漏了,我對其原因的任何猜測都只是猜測。
今年一月,在特斯拉正式宣布開放 Doge 支付之前,就有網友提前在特斯拉網頁程式碼上找到線索。Tree of Alpha 表示,雖然每個開發人員都稍微了解最佳做法,但殘酷的事實是,為了節省時間而採取了很多捷徑,一家價值 8,900 億美元的公司在實際環境中測試支付整合,這個狀況應該足以說明其他問題。
confirmed 🔥🤌♥️🥂#doge #dogecoin #dogearmy pic.twitter.com/KldCBuNXNn
— bluezr #dogenerate (@KBluezr) January 11, 2022
對漏洞賞金的想法
談到 Coinbase 的 25 萬獎勵與 DeFi 協議動輒數百萬美元的懸賞金相比,Tree of Alpha 表示:
DeFi 協議對駭客的作用很小,因為所有的行動都可以在沒有任何 KYC 的情況下發生,而且存在某種『代碼即法律』的文化,一些人擁護這個觀點。Coinbase 則不同,它是一個在美國上市的中心化交易所,執行 KYC(Know Your Customer)措施,可以很容易地要求執法部門介入。
Tree of Alpha 表示,賞金必須有足夠的規模讓灰帽駭客變成白帽駭客,但又不能大到讓數百人開始到處試探,根據推特上的整體反應,人們期待著 7 位數的賞金。而他自己沒有期待那麼多。他認為賞金的大小與問題的嚴重性成正比,而交易所可以透過提供較小的賞金來表明可能的損失沒有那麼高。
漏洞可能如何被利用
關於這次漏洞,Tree of Alpha 推演了一種被發現的可能性最小,又能獲得最高報酬的方法:
在非常接近最後成交價格的地方設置巨大的比特幣賣牆(sell walls),以便讓市場陷入恐慌。當這種作法擴散後,只有很小的部分會真正成交,而壞人可以透過在其他交易所做空,從隨之而來的混亂中獲得豐厚的利潤。
他相信這個漏洞的大部分損失是在市場本身,而不是在 Coinbase 客戶的持倉上。交易所的風險系統會啟動並停止所有提款,Coinbase 可以在遭遇打擊之後進行內部回溯。
當被問及這次漏洞是否能讓新用戶繼續信任中心化平台,Tree of Alpha 表示:
無論人們多麼喜歡吹捧加密貨幣不可竄改的去中心化性質,事實上,我們仍然需要對許多相關行為者信任,信任你使用的智能合約沒有任何漏洞,信任你的錢包 App 不會失控,信任 CEX(中心化交易所)的安全等等。你還需要考慮到,中心化實體比去中心化項目更有可能彌補漏洞帶來的損失。加密貨幣的魅力在於你可以選擇,將你的資金託付給交易所,或自行保管並承擔由此帶來的一切責任。
