TechFlowニュース 2月19日、Coinbaseは公式ブログで以前発生した脆弱性事案に関する調査報告を発表しました。それによると、2022年2月11日に外部の研究者から、Coinbaseの取引インターフェースに欠陥が存在することを指摘する報告を受けたとしています。Coinbaseは直ちにセキュリティインシデント対応チームを動員し、顧客資金に影響を与えることなく、システム基盤の問題を特定・修正しました。
Coinbaseによれば、このバグの根本的な原因は、小売ブローカーAPIエンドポイントにおいて論理検証チェックが不足していたことであり、これによりユーザーが本来関係のないソースアカウントを使って特定の注文帳へ取引を提出できてしまう状態でした。このAPIは現在限定テスト版として提供されている小売向けアドバンス取引プラットフォームでのみ利用されています。
例えば、あるユーザーが100 SHIBを保有するアカウントと0 BTCしか持たない別のアカウントを持っている場合、BTC-USDの注文帳に対して100 BTCの成行注文を出す際に、APIリクエストを手動で編集して資金源としてSHIBアカウントを指定することで、実際には存在しない100 BTCを売却する注文を出せてしまうというものです。この問題の報告に対して、Coinbaseは報告者に25万ドルのバグ報酬を支払ったと明かしています。しかし、同社のツイートに対する多くのコメントでは、この報酬額は低すぎるという批判が出ています。




