核彈級漏洞 | Coinbase急叫停進階交易！白帽駭客通報「可任意調整訂單簿價格」漏洞

全球加密貨幣交易所巨頭 Coinbase  今日受到一名白帽駭客熱心通報其進階交易平台存在一個「可以任意調整訂單簿價格」的嚴重漏洞，讓該交易所今日能夠即時暫停其零售進階交易功能並進行修復作業，成功免於此波攻擊。Coinbase 執行長 Brian Armstrong 也公開感謝這名白帽，稱喜歡加密社群的互助。
（前情提要：Bitfinex「12萬枚比特幣竊案」破獲！夫妻遭美司法部凍結36億鎂BTC、成史上最大加密扣押）
（背景補充：2FA夠安全？今年春季 Coinbase 6000 名用戶資金被盜，官方承諾補償）

全美交易量最大的加密貨幣交易所 Coinbase 今（12）日一度宣布暫停其新出的進階交易平台交易，起因於一位白帽駭客稍早熱心提醒該平台存在嚴重的交易漏洞。

這位推特帳號為 Tree_of_Alpha 的匿名白帽駭客於今日凌晨 2 點發文稱他在該交易所發現一個對市場有核武等級威脅的潛在漏洞，並已提交 HackerOne 報告通知 Coinbase（HackerOne 是一個為包括 Coinbase 在內的公司運行漏洞賞金計劃的平台），推文表現的緊迫性成功引起這個交易所巨頭的嚴正看待。

Anyone here can get me a direct line with someone at @coinbase , preferably management or dev team, possibly @brian_armstrong himself?

I'm submitting a hacker1 report but I'm afraid this can't wait. Can't say more either, this is potentially market-nuking.

DMs open.

— Tree of Alpha (@Tree_of_Alpha) February 11, 2022

延伸閱讀：分析師 : Crypto.com 遭駭金額恐達 3,300萬美元！CEO 承認400帳戶受害

可隨意調整訂單簿價格的漏洞

據 CoinDesk 報導，Tree of Alpha 向他們指出該漏洞的嚴重性：

這個問題很敏感，可能允許惡意用戶以任意價格發送所有 Coinbase 的訂單簿。

目前還沒有實際的 Coinbase 儲存（冷錢包或其他）受到影響。”

而 Coinbase 作為全球最大的加密貨幣交易所之一，它的價格數據常被用於預言機（oracle）的運作，且預言機通常決定許多 DeFi 協議的鏈外真實價格。所以 Coinbase 系統漏洞如遭駭客利用的話，引爆的效應恐將如該名白帽所形容的，對加密貨幣市場會是核彈等級的影響。

延伸閱讀：Coinbase致歉！錯誤通知12萬用戶2FA被改動，有人恐慌急賣6萬鎂BTC

Coinbase 緊急暫停進階平台交易、執行長發推感謝

在 Tree of Alpha 推文緊告的兩個小時內，Coinbase 於今日凌晨五點宣布暫停進階交易平台的交易（該進階交易巿服務僅適用於有限的受眾）：

由於技術原因，Coinbase 將禁用零售進階交易。該服務仍可訪問，用戶將只能取消現有訂單，但無法下新訂單。

For technical reasons, we are disabling retail advanced trading. This service will continue to be accessible, but new orders cannot be placed at this time. Existing orders are in cancel only mode.

— Coinbase Support (@CoinbaseSupport) February 11, 2022

並於早上 7 點宣布重啟了零售進階交易的全面服務，同時強調客戶的資金仍保持安全，沒有受到影響。Coinbase 執行長 Brian Armstrong 也在推特上公開感謝 Tree of Alpha 的幫助，表示喜歡加密社群的互相幫助。

.@Tree_of_Alpha you're awesome – a big thank you for working with our team

love how the crypto community helps each other out!

— Brian Armstrong – barmstrong.eth (@brian_armstrong) February 11, 2022