TechFlow – Le 19 février, Coinbase a publié sur son blog officiel un rapport d'enquête concernant une précédente vulnérabilité. L'entreprise a indiqué avoir reçu le 11 février 2022 un signalement d'un chercheur tiers ayant découvert un défaut dans l'interface de trading de Coinbase. Son équipe de réponse aux incidents sécuritaires s'est alors mobilisée rapidement pour identifier et corriger la faille, résolvant ainsi un problème sous-jacent du système sans impact sur les fonds des clients.
Selon Coinbase, la cause racine de cette erreur résidait dans l'absence de vérification logique au niveau d'un point d'extrémité (API) destiné aux courtiers grand public, permettant à un utilisateur de soumettre des ordres sur un carnet d'ordres spécifique en utilisant un compte source non correspondant. Cette API est uniquement utilisée par la plateforme avancée de trading grand public, actuellement en phase de test limité.
Par exemple, un utilisateur disposant d'un premier compte contenant 100 SHIB et d'un second compte sans BTC pouvait néanmoins soumettre un ordre au marché pour vendre 100 BTC sur le carnet d'ordres BTC-USD, en modifiant manuellement sa requête API afin d'indiquer comme source de financement son compte SHIB. À cet égard, Coinbase a indiqué avoir versé une prime de 250 000 dollars américains au découvreur de la vulnérabilité. Toutefois, de nombreux commentaires sous son tweet font remarquer que ce montant récompense insuffisamment l'ampleur du risque encouru.




