Coinbase在官方博客发布针对此前漏洞事件的调查报告,称在2022年2月11日收到了第三方研究人员的报告,称他们发现了Coinbase交易界面的缺陷。Coinbase及时调动安全事件响应团队对漏洞进行识别和修复,在不影响客户资金的情况下解决了系统底层问题。
Coinbase表示,该错误的根本原因是零售经纪API端点中缺少逻辑验证检查,芯动矿机这允许用户使用不匹配的源账户将交易提交到特定订单簿。此API仅由零售高级交易平台使用,该平台目前处于有限测试版中。 举例而言,假如一个用户有一个拥有100 SHIB的帐户,以及一个拥有0 BTC的第二个帐户,他可以通过向BTC-USD订单簿提交市价单卖出100 BTC,但手动编辑其API请求以指定其SHIB账户作为资金来源,从而可以在BTC-USD订单簿上卖出100 BTC的市价单。 为此,Coinbase表示向披露者支付了25万美元的漏洞赏金。