Участник баунти-программы нашел критическую уязвимость в коде криптовалютной платформы Coinbase. Он передал информацию о ней разработчикам, и компания выплатила энтузиасту 30 тыс. долларов.
Вознаграждение стало крупнейшим в истории существования баунти-программы Coinbase. Информация о проблеме появилась на HackerOne 12 февраля. На данный момент она уже устранена.
Разработчики не раскрыли суть уязвимости, но сумма вознаграждения говорит, что она была весьма серьёзной. Компания не сообщила, успели ли хакеры воспользоваться уязвимостью для кражи средств, но отсутствие скандалов и массовых жалоб клиентов говорит о том, что баг не эксплуатировали.
Coinbase запустил четырехступенчатую систему оповещения об уязвимостях. За незначительные проблемы выплачивают 200 долларов, за багги средней степени угрозы — 2 тыс. долларов, за проблемы с высоким риском — 15 тыс. долларов, за критические уязвимости — до 50 тыс. долларов.
Таким образом, найденный баг имеет высокий, но не рекордный уровень опасности. Но в прошлом году компания выплатила 10 тыс. долларов за данные об уязвимости, которые позволяли злоумышленниками перечислять на свои счета неограниченные суммы в Ethereum, так что новая проблема значительно серьезнее.