"Самая законная и полностью регулируемая" криптовалютная биржа Coinbase заблокировала пользователя, который сообщил ее сотрудникам об обнаруженной им уязвимости в сервисе Vault (холодное хранилище для криптовалют), в результате которой биржа могла понести убытки на миллионы долларов. Своей версией произошедшего пользователь поделился на Reddit.
Пользователь pxallin1122 утверждает, что начал изучать систему Vault в июне 2015 года и обнаружил в сервисе серьезную уязвимость. Суть ее в том, что пользователь мог в неограниченном количестве выводить с ошелька не принадлежащие ему биткоины, создавая тем самым негативный баланс на платформе. Правда, он сам не пользовался биржевыми услугами, а просто хранил свои биткоины в холодном кошельке Coinbase.
Подобная уязвимость два года назад послужила причиной краха MtGox - самой крупной на тот момент биржи Bitcoin. Если информация от pxallin1122 соответствует действительности, то и технически продвинутые биржи нового поколения не застрахованы от такой участи.
По словам пользователя, он сообщил Coinbase о данной проблеме, предоставив подробное поэтапное описание ошибки. За свою помощь он получил от биржи вознаграждение в 5000 долларов (по текущему курсу - чуть больше 11 BTC).
Пользователь обижен размером вознаграждения, и называет его мизерным. Он рассчитывал, что сумма должна быть не менее 25 000 долларов.
Тайная блокировка
Pxallin1122 утверждает, что после этого биржа «тайно заблокировала» его аккаунт. Он так и не смог снять отправленные ему биткоины со своего кошелька Coinbase.
Тем не менее, пользователь продолжил расследование и обнаружил еще одну аналогичную уязвимость. И снова пользователь сообщил об этой ошибке в Coinbase. Однако на этот раз Coinbase ответила, что проблема имеет «информационный характер», и вместо вознаграждения пользователь получил полную блокировку своего аккаунта. Биржа обвинила его в нарушении "одного или нескольких правил использования сервиса".
Впоследствии Coinbase, как ни в чем не бывало, отправила ему запрос с просьбой предоставить дальнейшую информацию об обнаруженной проблеме. Однако, на этот раз помочь не удалось, поскольку доступ к аккаунту был уже закрыт.
Сообщается также, что недавно Coinbase направила пользователю электронное письмо о том, что все его сообщения на сайте HackerOne будут открыты и пересмотрены. Однако остается неясным, почему биржа не разблокирует его аккаунт. Может быть, они считают его опасным? Но если бы он захотел воспользоваться ситуацией, он мог бы сделать это гораздо раньше, не так ли?
Версия Coinbase
Немедленно после описанной выше публикации на Reddit,Coinbase представила свою версию происшествия. Представитель компани Роб Витофф (Rob Witoff) рассказал, что программа вознаграждения "белых хакеров" за обнаруженные уязвимости действует с 2013 года, и за это время уже было выплачено $103 801, причем минимальная награда составляет 100$. В данном случае, после проверки и подтверждения уязвимости, в течение 24 часов на баланс пользователя были зачислены 5000$.
Что касается блокировки помешавшей клиенту воспользоваться наградой, представитель биржи сделал лицо кирпичом и сообщил, что, как указано в приведенном самим пользователем письме, он был заблокирован не за найденную уязвимость, а за некое "нарушение правил сервиса". В чем именно состояло нарушение и почему оно с такой точностью совпало с этим происшествием, он не объяснил.
Кроме того, в ветке Reddit пострадавшему ответил собственной персоной Чарли Ли, разработчик Лайткойна и директор Coinbase по инженерии. Он согласился с тем, что проблема действительно существует, но не согласился с обвинением в том, что с ее помощью можно делать неограниченные выводы средств. По словам Ли, такая ситуация была предусмотрена, и система защиты, написанная им самим, не дала пользователю проводить дальнейшие выводы. Как только общий баланс счета стал отрицательным, возможность вывода была автоматически заблокирована без какого-либо злого умысла со стороны компании. Именно поэтому тот не смог вывести свою награду даже после того, как баланс стал положительным. Поэтому, Ли считает награду в 5000$ более чем справедливой.
О последующей полной блокировке аккаунта пользователя за "нарушение правил" он ничего не написал. Если с технической точки зрения ситуация несколько прояснилась, то полная блокировка пользователя и ее причины все еще остаются загадочными.
