Невероятно: биржа Coinbase закрывает доступ пользователю, который помог сохранить миллионы

[April]

 

"Самая законная и полностью регулируемая" криптовалютная биржа Coinbase заблокировала пользователя, который сообщил ее сотрудникам об обнаруженной им уязвимости в сервисе Vault (холодное хранилище для криптовалют), в результате которой биржа могла понести убытки на миллионы долларов. Своей версией произошедшего пользователь поделился на Reddit.

 

Пользователь pxallin1122 утверждает, что начал изучать систему Vault в июне 2015 года и обнаружил в сервисе серьезную уязвимость. Суть ее в том, что пользователь мог в неограниченном количестве выводить с ошелька не принадлежащие ему биткоины, создавая тем самым негативный баланс на платформе. Правда, он сам не пользовался биржевыми услугами, а просто хранил свои биткоины в холодном кошельке Coinbase.

 

Подобная уязвимость два года назад послужила причиной краха MtGox - самой крупной на тот момент биржи Bitcoin. Если информация от pxallin1122 соответствует действительности, то и технически продвинутые биржи нового поколения не застрахованы от такой участи.

 

По словам пользователя, он сообщил Coinbase о данной проблеме, предоставив подробное поэтапное описание ошибки. За свою помощь он получил от биржи вознаграждение в 5000 долларов (по текущему курсу - чуть больше 11 BTC).

 

 

Пользователь обижен размером вознаграждения, и называет его мизерным. Он рассчитывал, что сумма должна быть не менее 25 000 долларов.

 

Тайная блокировка

 

Pxallin1122 утверждает, что после этого биржа «тайно заблокировала» его аккаунт. Он так и не смог снять отправленные ему биткоины со своего кошелька Coinbase.

 

Тем не менее, пользователь продолжил расследование и обнаружил еще одну аналогичную уязвимость. И снова пользователь сообщил об этой ошибке в Coinbase. Однако на этот раз Coinbase ответила, что проблема имеет «информационный характер», и вместо вознаграждения пользователь получил полную блокировку своего аккаунта. Биржа обвинила его в нарушении "одного или нескольких правил использования сервиса".

 

 

Впоследствии Coinbase, как ни в чем не бывало, отправила ему запрос с просьбой предоставить дальнейшую информацию об обнаруженной проблеме. Однако, на этот раз помочь не удалось, поскольку доступ к аккаунту был уже закрыт.

 

 

Читать полностью

Edited 22 Dec 2015, 14:14 by Tomcat_MkII

[SandStorm]

Coinbase потом ответила, что выплатила всего лишь 5000 долларов, потому что уязвимость была на самом деле, но отдел безопасности знал о ней и смог бы предотвратить потерю средств. А по поводу блокировки аккаунта отморозились. 

[Uliss]

Видимо, чувак обломал их с "планом Б" - слиться по-тихому под благовидным предлогом хака.

[Gromootvod]

Если эта история правдивая, то:

Человек хотел заработать на поиске бага, его разочаровали, не доплатили.

А потом мы удивляемся, откуда берутся хакеры и огорчённые пользователи.

Платить нужно достойно за помощь в развитии.

[antontmn]

@Gromootvod, а у вас находили уязвимости?

[Oz]

Если эта история правдивая, то:

Человек хотел заработать на поиске бага, его разочаровали, не доплатили.

А потом мы удивляемся, откуда берутся хакеры и огорчённые пользователи.

Платить нужно достойно за помощь в развитии.

 

А вот последний случай с фейсбуком - https://xakep.ru/2015/12/19/wineberg-vs-facebook/ . Это далеко не единичный случай. Таких много. И с подобным отношением, чем дальше в лес, тем надёжнее (безопаснее и желательнее) будет прибить сервис нахрен, нежели с ним сотрудничать. Эффективный менеджмент. А когда-то таких брали на работу и кормили печеньками.

 

Если даже FaceBook (Это же образцовый пример и мечта многих IT-шников) дошёл до подобного, что говорить о других. Этот случай всё же умянут и заставят, чтобы про него забыли. (Это же FaceBook! Ну кому нужна репутация, вроде "Никогда, никогда не работай с ними ни при каких условиях!" это же клеймо, всех специалистов распугают. Для компании с планами на FPGA кластеры это перебор).

 

А тут какой-то coinbase.

[Gromootvod]

@antontmn, 

Да, были случаи выявления недоработок. Любая крупная интернет компания платит за нахождение багов.

Однако, практически все они ( недостатки) не смогли бы стать причиной кражи или утечки информации.

За каждый проверенный выявленный случай пользователям выплачивалось материальная благодарность.

Возможно, при определённом старании можно было и попытаться залить шел, но ни кто не смог, хотя по активности в логах пытаются ежедневно....

Так как в обменнике полностью ручной обмен (с дополнительными автоматическими проверками и подсказками операторам).

То отправить средства на сторону без оплаты не представляется возможным. За всё существование и работы скрипта Xchange (около 3  лет) не было ни одного случая взлома.

На этом скрипте уже работают несколько обменников. Например Wmglobus.com и другие.

Безопасность и порядочность это правила любого успешного мероприятия и бизнеса.

[Unknown84]

Жалко чувака!