Coinbase is opgelucht na een bug bounty van slechts $250.000

Als je een white hat hacker bent en je moet kiezen tussen het uitbuiten van een vernietigend lek en het accepteren van een .000 bug bounty. Welke optie kies je dan?

Hacker met goede bedoelingen

Recent kiest een white hat hacker voor de laatste optie. Dat leidt tot een zucht van verlichting bij de Coinbase beurs. De ingenieur draagt de Twitter naam Tree of Alpha.

Hij deelt een thread met de details van de kwetsbaarheid. Voordat hij Coinbase benadert test hij ook hoe het bedrijf de bug testte. 

Advanced Trading Feature bug

Tree of Alpha beweerd dat het gaat om een kwetsbaarheid in de Advanced Trading Feature van Coinbase. Een hacker met kwaad in de zin kan hier zijn voordeel mee doen.

Een minder ethische hacker kan er na de verkoop van Bitcoin en andere crypto met de winst vandoor gaan. Ook als ze deze munten niet in hun bezit hebben. Tree of Alpha zegt:

“Ik heb net 0.0243 Ethereum gebruikt om 0.0243 Bitcoin te verkopen op het BTC-USD pair waar ik geen toegang tot heb. Dat terwijl ik geen eigen Bitcoins bezit.”

Verkopen zonder munten

Vervolgens probeert de hacker om een verkooporder met een 50 Bitcoin limiet te plaatsen. Dat doet hij met behulp van 50 Shiba Inu. Andere mensen laten via Twitter weten dat ze dit kunnen waarnemen.

Vervolgens plaatst Tree of Alpha een tweet waarin hij hulp vraagt om de directie van Coinbase te bereiken. Tree of Alpha is lovend over de reactiesnelheid van Coinbase. Hij laat weten:

“Ik heb soms problemen met Coinbase. Toch ben ik er niet zeker van of ik een ander bedrijf ook zo snel had kunnen bereiken in deze situatie.”

Bèta release?

De cryptocurrency exchange laat op 19 februari een persbericht uitgaan. Coinbase zegt dat de white hat hacker de kwestie op 11 februari heeft aangekaart. 

Beide partijen zijn het erover eens dat er snel actie ondernomen moet worden. De bug moet worden geïdentificeerd en vervolgens worden opgelost.

Tree of Alpha benadert het bedrijf als onderdeel van HackerOne. Het bug bounty platform van Coinbase. Deze zegt dat het Retail Advanced Trading platform in bèta-release is.

Afkoopsom is lachertje

Veel gebruikers zijn sceptisch als ze ontdekken dat de bug bounty van Coinbase voor deze ontdekking slechts .000 bedraagt. Zeker als je weet wat Tree of Alpha met de bug kan doen. 

Hij heeft de macht om er vandoor te gaan met Bitcoin die hij niet eens bezit. Ook kan hij deze gevoelige informatie verkopen aan de hoogste bieder.

Cruciaal moment

Veel mensen vragen zich nu af wat zij zouden doen in deze situatie. Zouden ze dezelfde keuze maken als Tree of Alpha of eisen ze een grotere beloning voor de melding?

De kwetsbaarheid van Coinbase komt op een cruciaal moment voor cryptocurrencies. Zeker nu beleggers zich afvragen of exchanges hun activa veilig kunnen houden voor hackers en overheidsinstanties.