Согласно статье в блоге компании, об уязвимости Tree of Alpha сообщил компании вечером 11 февраля. Он написал, что «ему нужно срочно поговорить с управляющими или разработчиками Coinbase, так как проблема не может ждать». Специалисты биржи связались с хакером и начали работу над устранением уязвимости.
Ошибка была обнаружена в новой торговой функции в бета-версии площадки. Хакер, используя два аккаунта на бирже, мог выставлять ордера на продажу криптовалюты, используя балансы в других монетах. То есть, например, он мог «продать» 100 BTC, хотя на его счету было бы лишь 100 SHIB.
«Пользователь посылал рыночный ордер в паре BTC/USD на продажу 100 BTC, но с помощью ручной корректировки запроса в API платформы использовал аккаунт с балансом в SHIB в качестве источника средств. Соответственно, в книге ордеров появился бы ордер на продажу 100 биткоинов», – пишут представители биржи.
За обнаружение уязвимости Coinbase выплатила Tree of Alpha награду в $250 000. Хакер отметил, что обнаружил уязвимость случайно – ему удалось продать 0.0243 BTC, используя аналогичное количество ETH на своем кошельке. Он выяснил, что ордер действительно был исполнен движком площадки, и связался с биржей.
Напомним, что после сообщения об уязвимости Coinbase отключила торговлю на платформе Advanced Trading.