💬 Вопросы и ответы с исследователем, который выявил торговую ошибку Coinbase, которая «подрывает рынок»

Вопросы и ответы с исследователем, который выявил торговую ошибку Coinbase, которая «подрывает рынок»

Несмотря на то, что было пролито много чернил, освещающих достижения (и убытки) торговых и инвестиционных фирм на крипторынке, остается одна группа, которая играет неотъемлемую, закулисную роль в обеспечении безопасности: искатели крипто-жучков.

Эта группа, от белых хакеров до исследователей, в основном анонимных программистов и аналитиков, сканирует блокчейны и API, чтобы найти возможные опасные бреши в системах, поддерживающих рынок криптовалют.

Последним примером является обнаружение ошибки в новой торговой функции пользователем под псевдонимом Tree of Alpha. Они обнаружили ошибку в бета-функции, которая позволяла пользователю продавать криптовалюту в одной учетной записи, если у него было такое же количество криптовалюты в другой учетной записи — позволяя кому-то, например, продать 100 биткойнов за 100 SHIB.

«Я только что использовал 0,0243 ETH, чтобы продать 0,0243 BTC в паре BTC-USD, к которой у меня нет доступа, не имея при себе ни одного BTC», — объяснило Tree of Alpha. «Надеясь, что это ошибка пользовательского интерфейса, я проверяю исполнение ордера, и оно соответствует API: эти сделки действительно произошли в книге ордеров в реальном времени».

Tree of Alpha описал ошибку как "подрыв рынка", когда он написал в Твиттере 11 февраля. В конечном итоге Coinbase вознаградила исследователя за его усилия в размере 250 000 долларов США.

Чтобы узнать больше, The Block провел исследование, чтобы спросить его о его прошлом, ошибке Coinbase и о том, что это означает для принятия криптовалюты.

Ниже приведен наш разговор с Tree of Alpha, отредактированный для ясности и краткости:

Фрэнк Чапарро: Как вы попали в космос и узнали об этих типах эксплойтов?

Tree of Alpha: я начал заниматься криптографией примерно в конце 2017 года, в основном покупая вершину за копейки, как только что получивший диплом инженера-программиста.

Я потратил 2 года на изучение разработки, написав сотни торговых ботов, которые никогда бы не заработали стабильно, прежде чем переключиться на торговлю новостями и ботов, а также найти самые быстрые способы получения информации. Большинство эксплойтов, которые я нахожу, я совершаю, когда ищу информацию, которую можно продать. Это относится к утечке Tesla + Doge, утечке CoinDesk и этой недавней уязвимости Coinbase.

FC: Вознаграждение в размере 250 000 долларов США кажется незначительным, учитывая его масштабы и тот факт, что некоторые протоколы DeFi предлагали миллионы. Считаете ли вы, что это адекватная сумма?

ToA: Трудно сказать, сколько факторов нужно учитывать. Если подумать о возможном предубеждении? Конечно, кажется легким, хотя мы не можем точно знать, какой ущерб мог быть нанесен.

Протоколы DeFi имеют очень мало рычагов влияния на хакеров, поскольку все действия могут происходить без какой-либо процедуры KYC, а также существует определенная культура «код — это закон», которой некоторые придерживаются. Coinbase отличается: это централизованная биржа с листингом в США, обеспечивающая соблюдение мер KYC, которые могут легко призвать правоохранительные органы вмешаться.

Награды должны быть достаточно большими, чтобы серые шляпы превратились в белые, но не настолько большими, чтобы сотни людей начали шарить повсюду. Судя по общему отклику в Твиттере, ожидается семизначная награда.

Я не ожидал такого: размер вознаграждения пропорционален серьезности проблемы, и, поскольку я не использовал его, биржа может заявить, что возможный ущерб был не таким уж высоким, предложив меньший. FC: Как вы думаете, что это означает для новых участников криптографии, могут ли они доверять централизованным площадкам?

ToA: Как бы людям ни хотелось рекламировать неприкосновенную децентрализованную природу криптографии, факт остается фактом: нам по-прежнему нужно доверять многим вовлеченным сторонам: верить, что смарт-контракт, который вы используете, не имеет никаких уязвимостей, верить, что ваше приложение кошелька не стало мошенническим, верьте, что CEX безопасны и т. д.

Вы также должны принять во внимание, что централизованные организации с гораздо большей вероятностью смогут покрыть ущерб от эксплойта, чем децентрализованный проект. Прелесть криптовалюты в том, что у вас есть выбор: доверить свои средства бирже или взять на себя ответственность за все, что с этим связано.

FC: Как вы думаете, почему эта проблема осталась незамеченной?

ToA: Это сложно: я не знаю. При написании тестов для API, который принимает исходную учетную запись, целевую учетную запись и идентификатор продукта, первое, в чем я хотел бы убедиться, это то, что у человека действительно больше, чем «QTY» в учетной записи. У Coinbase была эта часть.

Во-вторых, убедитесь, что для продажи продукта "BTC-USD", например, "исходный счет" является счетом "BTC", а "целевой счет" - счетом "USD". Эта часть отсутствовала, и любые мои предположения о том, почему это было предположением.

Хотя каждый разработчик хотя бы смутно знаком с передовыми методами, суровая правда заключается в том, что для экономии времени используется множество способов. Если Tesla, компания стоимостью 890 миллиардов долларов, тестирует интеграцию платежей в реальной среде, это должно рассказать вам достаточно о других. FC: Можете ли вы оценить потенциальный ущерб в случае его использования?

ToA: Я не могу, это зависит от очень специфических внутренних особенностей Coinbase.

По моему мнению, самой высокой наградой с наименьшими шансами быть обнаруженной была бы установка огромных стен для продажи BTC очень близко к цене последней сделки, чтобы вызвать панику на рынке. По мере распространения повествования на самом деле заполнялась бы очень небольшая часть, и плохой актер мог бы неплохо заработать на последовавшем хаосе, продав на других биржах.

В целом, я считаю, что с этим эксплойтом большая часть ущерба была бы нанесена самому рынку, а не вкладам клиентов Coinbase. Система риска сработала бы, остановив все снятие средств, и Coinbase могла бы сделать внутренний откат после удара.

© 2022 The Block Crypto, Inc. Все права защищены. Эта статья предоставлена ​​только в ознакомительных целях. Он не предлагается и не предназначен для использования в качестве юридического, налогового, инвестиционного, финансового или иного совета.