一个有趣的帖子出现在了/r/Bitcoin子板论坛上,一位名为“pxallin1122”的用户称,他帮助Coinbase公司解决了一个重大财务漏洞,尽管他也拿到了一小笔bug赏金,但令他感到不悦的是,coinbase在没有给出明确原因的情况下关闭了他的账户。
悲剧
原帖翻译如下:
从2015年6月份开始,我使用了Coinbase作为我的“在线比特币金库”,大约是4-5个月之后吧,我手中的比特币也从2500美元增持到了10000美元。我对他们的“金库”(vault)系统是怎样工作的,感到非常好奇,我想要知道它是有多安全的。在测试了它大约一个多星期之后,我从coinbase的网站上找到了一个非常重要的漏洞。概括地讲,这个漏洞可以让我在账户余额为负的情况下继续提现btc,可能会导致我大量地提取比特币,但实际上我是没有这些币的。我没有选择利用这个漏洞,反而决定帮助Coinbase去修复这个漏洞,一步一步地告诉他们如何在hackerone上重现这个bug。当coinbase修复完这个漏洞之后,他们给了我5000美元的奖金,我认为这是不公平的,我期待中应该是有25000美元。如果没有我帮助他们修复这个bug,他们可能会因此而损失数十万美元,如果这个漏洞被一定数量的人所使用,他们的损失甚至可能达到数百万美元。
在我得到我的赏金之后,他们“秘密”地封杀了我的账户,我对此感到了深深的感动,我完全不知道发生了什么,他们就发了一封邮件给我,告诉我说我的账户被禁或者锁定了。然后,我发现他们把我的比特币也锁定了,我没法提现也没法进行使用。我发了几封邮件给他们,但没有收到明确的答复。经过进一步调查他们的“Vault ”产品,我发现几乎和之前同样的漏洞还是存在着。在通知Coinbase这个新的漏洞之后,他们花了几个月的时间来解决hackerone的问题,然后他们在没有给出相关原因的情况下,完全禁止了我的coinbase帐户,之后关于hackerone的事他们又联系了我,希望我能给出进一步的指示,他们清楚地知道我无法做到这一点,因为在提问之前,他们已经禁止了我的账户。随着时间的流逝,Coinbase没有给出明确的答复,并给这个新漏洞贴上了“提供有用消息”的标签,也没有给我任何的赏金。我通过新账户,想要再检查下这个新漏洞,发现他们已经进行了修复,当然,也没有给我奖励。
我曾不想把这件事公之于众,我想过和Coinbase进行私了,但遗憾的是,我没有得到应有的回应,我没有其他的选择,只能把这件事分享给所有人。
证明:
第一个利用hackerone上的漏洞:
pof1
第一次正确执行漏洞的证明:
pof2
在Coinbase修复第二个漏洞之后,他们禁止我账户的证明:
pof3
在他们修复第二个漏洞,禁止我访问coinbase之后,第二个漏洞被标记为“提供有用消息”:
pof4
注:我只是用Coinbase来保管我的比特币,我从未用Coinbase来买币或者卖币。
更新:Coinbase已经给我发了邮件,表示他们会对我上报的关于Hackerone的信息,进行重新评估。
2101
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
