1.000.000 PLN bug bounty za taki prymitywny błąd:
Użytkownik ma konto A, na którym posiada 100 SHIB (1 SHIB = 0.0001 PLN :), oraz drugie konto B, na którym posiada 0 BTC
Użytkownik uruchamia funkcję API, która ma sprzedać BTC i kupić za to USD. Ale przecież nie mamy żadnych BTC! No więc chwilę przed wysłaniem żądania HTTP do funkcji API, zmieniamy konto źródłowe (z tego BTC) na konto SHIB (tam jest 100 SHIBów).
W tym miejscu (tzn. pkt powyżej 😉 jest istota błędu. Sprawdzana była liczba waluty na koncie, z którego ma być zrobiony ~przelew, ale nie było sprawdzane czy waluta na tym koncie, jest tą, którą sprzedajemy.
Chyba trzeba się przerzucić na security ¯_(ツ)_/¯
Źródło: https://sekurak.pl/coinbase-wyplacilo-1000000-pln-bug-bounty-dziecinna-luka-w-logice-biznesowej/
@sekurak
#programista15k #informatyka #bezpieczenstwo #security #heheszki #kryptowaluty