Пользователь нашел серьезный баг на Coinbase, но получил небольшое вознаграждение

«Пользователь отправляет рыночную заявку в книгу заявок BTC-USD на продажу 100 BTC, но вручную редактирует свое обращение к API, чтобы указать свой счет SHIB в качестве источника финансирования. В результате в книге заявок BTC-USD появлялась соответствующая рыночная заявка», — пишет биржа.

«Я просто использовал 0,0243 ETH, чтобы продать 0,0243 BTC в паре BTC-USD, к которой у меня нет доступа, не имея BTC. Я надеялся, что это баг в пользовательском интерфейсе, но, когда проверил историю, то обнаружил, что мой ордер действительно прошел в активной книге заявок».

«Для последнего этапа тестирования и конечного подтверждения я:

Отправил 9 млн SHIB на Coinbase;



Изменил источник финансирования заявки на аккаунт с SHIB;



Выставил лимитную заявку на продажу 50 BTC при помощи 50 SHIB;



Попросил людей сказать, что они видят.

Сложно представить себе что-то столь отрезвляющее и пугающее одновременно:

Ты только что выставил лимитную заявку на продажу 50 BTC;



Все остальные ее видят.



Мы никогда не узнаем, что действительно могло бы произойти, если бы злонамеренный хакер попытался воспользоваться данной уязвимостью. Пусть лучше будет так. Хотя я сам мог попытаться разместить огромные лимитные заявки на продажу, ответственное тестирование предполагает, что я должен делать лишь то, что необходимо для оценки серьезности бага», — добавил Tree of Alpha.