کابوس امنیتی API Coinbase

Coinbase بزرگترین مبادله رمزنگاری جهان است. در فوریه 2022 ، یک اشکال در API Coinbase به یک مهاجم اجازه داد تا Coinbase را به فروش سکه هایی که مهاجم ندارد ، فریب دهد. این مسئله امنیتی API به مهاجمان این امکان را می دهد تا با فروش پول رمزنگاری را به طور موثر با فروش ، به عنوان مثال ، بیت کوینی که آنها در Coinbase ندارند - در ازای USD - چاپ کنند.

خوشبختانه برای Coinbase و کل بازار Crypto ، مهاجمی که این هک را پیدا کرد ، کلاه سفید خود را قرار داد و موضوع را به Coinbase فاش کرد. اگر توسط یک مهاجم مخرب مورد سوءاستفاده قرار گرفت ، می توان میزان خسارت این اشکال امنیتی API را برای Coinbase ایجاد کرد.

کاوشگر در بازار

این بدان معناست که یک مهاجم فناوری - زرنگ و دانا می تواند درخواست API و ترفند Coinbase را در فروش سکه هایی که وی نداشت ، دستکاری کند. این معادل رمزنگاری متقاعد کردن بانک شما برای انتقال پولی است که شما ندارید ، و از آنجا که Coinbase می تواند سکه های شما را به دلار بفروشد - دقیقاً همین است.

اگر این اشکال مورد سوء استفاده قرار می گرفت ، به یک مهاجم اجازه می دهد تا با استفاده از API پول را به طور مؤثر چاپ کند. Coinbase می تواند فوق العاده صدمه ببیند - از نظر مالی و شهرت.(این قبلاً در گذشته به مبادله رمزنگاری آن زمان ، به نام کوهستان Gox اتفاق افتاده است).

مسائل امنیتی API اغلب به طرز چشمگیری آسیب می بینند - زیرا API توسط ماهیت آن به کاربران امکان می دهد مستقیماً به پایگاه داده و منطق تجارت دسترسی داشته و اصلاح کنند.

جدول زمانی

این اقدام بیش از 6 ساعت ، دو هفته پیش انجام شد. محقق امنیتی tree_of_alpha API را هک کرد و اشکال امنیتی را در ساعت 10:16 صبح پیدا کرد و خواستار پاسخ فوری توسط Coinbase شد.

11 فوریه ، 10:16 AM PST:

در طی 90 دقیقه ، ساعت 11:42 AM PST ، مهندسان Coinbase موضوع را بازتولید کردند ، پیامدهای آن را درک کردند و سفارشات جدید را خاموش کردند.

چنین پاسخ به موقع مورد ستایش قرار می گیرد. همه دارای مسائل امنیتی API هستند. تشخیص سریع و اصلاح مسائل مشخصه مشخصه شرکتهای موفق است.

ساعت 4:01 بعد از ظهر PST ، مهندسان Coinbase مشکل را برطرف کرده و یک رفع را آزاد می کنند و این حادثه را برطرف می کنند. tree_of_alpha برای کار خود یک چهارم میلیون دلار اهدا شد.

جزییات فنی

یکی از سیستم عامل های Coinbase شامل یک نقطه پایانی API است که امکان فروش یک سکه برای سکه دیگر را فراهم می کند. این نقطه پایانی مبلغی را برای فروش و همچنین جزئیات مربوط به فروش از آن (کدام سکه) شامل می شود.

به عنوان مثال ، مهاجم ممکن است در ازای USD مقداری بیت کوین بفروشد ، اما API را با مشخص کردن حساب منبع به عنوان یک حساب جداگانه از حساب او - به عنوان مثال ، حساب Ethereum خود ، به جای بیت کوین خود - فریب دهد ، بنابراین در عمل فروش اتریوم خود ، اما گرفتنمقدار بیت کوین برای آن.(1 بیت کوین به ارزش 15 اتریوم است ، و این عمل را می توان با هر سکه انجام داد - به طور مؤثر اجازه چاپ پول بی نهایت را می دهد.)

برای تحریک سوء استفاده ، مهاجم صرفاً برای اصلاح یک زمینه واحد در درخواست API - منبع حساب_id - به یکی دیگر از حساب های خود ، حاوی یک سکه "ارزان تر" نیاز داشت.

وی گفت: "در حالی که هر دارایی دارای کیف پول پیش فرض است ، می توانید چندین کیف پول برای یک دارایی خاص داشته باشید. API در تلاش بود تا با مشخص کردن اینکه کدام کیف پول باید از آن استفاده کند ، کار کند ، بدون اینکه هرگز بررسی کند که آیا این کیف پول مورد نیاز است یا خیر. "

برای نقل قول گذشته نگر Coinbase: "سرویس اعتبار سنجی بررسی می کند که آیا حساب منبع دارای مانده کافی برای تکمیل تجارت است ، اما نه اینکه آیا حساب منبع با دارایی پیشنهادی برای ارسال تجارت مطابقت دارد."

پیامد

این حمله خاص نیاز به اطلاعات و فناوری خاصی ، دانش خودی ، بدون شماره 0 روز ندارد. این کشور به یک کشور ملت و ارتش هکرها احتیاج نداشت - فقط یک مهاجم تنها ، با استعداد ، کنجکاو و یک نظارت واحد در کد.

این اتفاق برای Coinbase ، که یکی از قوی ترین تیم های مهندسی جهان است ، با آگاهی امنیتی بسیار بالایی رخ داده است.

اگر این اتفاق برای Coinbase افتاد ، می تواند برای شما اتفاق بیفتد.

آیا API شما ایمن است؟فناوری امنیتی سنتی مانند WAFS برای تشخیص چنین حملاتی ناتوان است. چگونه یک CTO یا CISO اطمینان حاصل می کند که API آنها از چنین حملاتی مصون است؟

دو استراتژی اصلی وجود دارد.

شبیه سازی حمله API فعال

محققان مانند تیم WIB با ایجاد انواع حملات احتمالی به API ، تجزیه و تحلیل نتایج ، و استنباط این که آیا پاسخ نشان می دهد که API دارای یک اشکال منطقی در آن است - آسیب پذیری دارد.

شبیه ساز حمله ما اشکالاتی مانند مواردی را پیدا می کند که تقریباً Coinbase را پایین آورده است (و با آن ، به طور بالقوه کل صنعت رمزنگاری). CTO کوشا یا CISO به خوبی توصیه می شود که به دنبال یک شبیه سازی حمله فعال در برابر API های خود باشند.

قبل از اینکه مهاجمان تصادفی در توییتر انجام دهند ، مسائل API خود را پیدا کنید.

تشخیص ترافیک API فعال

دومین استراتژی CISO کوشا - که از اهمیت مسائل امنیتی API آگاه است - یک ابزار دفاعی مانند بازرسی ترافیک WIB است. این ابزار حملات API را با تشخیص الگوی غیر عادی تشخیص می دهد و می تواند قبل از خالی کردن کیف پول شما ، مهاجم را مسدود کند.

امنیت API چرخه کامل

در WIB ، ما با شرکت هایی در سراسر جهان همکاری می کنیم تا به آنها در دفاع از امنیت API خود کمک کنیم. حملات API بردار حمله شماره 1 است - و اشکال نزدیک "بازار Nuke" Coinbase نشان می دهد که چرا. رویکرد ما از Security API چرخه عمر کامل به شرکتها این امکان را می دهد تا اطمینان حاصل کنند که API آنها از امنیت برخوردار است.

اگر تمام راه را در اینجا بخوانید ، احتمالاً متوجه می شوید که به یک راه حل امنیتی API و در اسرع وقت نیاز دارید. امروز با ما تماس بگیرید تا یک نسخه ی نمایشی را برای چگونگی کمک به شما در جلوگیری از مشکلاتی که حتی مهندسان Coinbase نمی توانند متوقف شوند ، با ما تماس بگیرید.