黑客二选一：Coinbase漏洞交易赚1亿还是良心举报赚700万？

美国最大的上市加密货币交易所 Coinbase 非常幸运。 在白帽黑客的协助下，躲过了一个核弹级的交易漏洞，可以直接摧毁整个公司。 这位白帽黑客获得了 250,000 美元的举报奖金。

白帽黑客指的是那些拥有高超信息技术的人，但他们并不以攻击或窃取数据为目的。 相反，他们利用这些手段找出企业可能存在的安全漏洞来赚取奖金，这在网络世界中是非常高尚的人。 种职业。

账户名为 Tree of Alpha 的白帽黑客本月早些时候因为加密货币交易所 Coinbase 寻找漏洞获得了高达 25 万美元的奖励，但与他发现的漏洞相比，这简直是沧海一粟。

在Coinbase正在测试的高端交易功能中比特币漏洞，Tree of Alpha发现用户的两个账户中，存在币种验证错误的问题，导致他使用A账户中的币种进行交易，但交易单位为 B. 账户金额。

以比特币的形式出售柴犬

比如A账户只要放100个柴犬币，价值就是0.002美元； 然后用B账户（没有资产的比特币账户）发送一笔交易将100个比特币卖给美元，并手动将交易对象从B账户更改为A账户。此时系统的API漏洞将被触发。 系统无法检查账户中的金额是否正确。 最终，交易会变成出售100个柴犬币，进而获得380万美元。

“我做的事情很简单，我发起了一个0.0243 ETH的订单，但这是一笔比特币对美元的交易，而且确实成交了。” Tree of Alpha 表示，他认为这只是一个界面显示错误。 经过API和交易记录确认，系统确实让他把以太当比特币卖了。

这无疑是一个毁灭性的漏洞。 一旦有更多用户发现这个漏洞比特币漏洞，就意味着Coinbase几乎所有的资产都可以凭空移除，同时交易配对错误的用户必须得到损失的赔偿。

在利用漏洞赚钱之前，Tree of Alpha 几乎是第一时间就联系了 Coinbase 并报告了漏洞。 这份善意为他赢得了25万美元的悬赏金，但与可能造成的损失相比，似乎有点便宜？

“事实上，我们很难真正估计这个漏洞可能造成的损害，所以我认为奖励不会太少。” 阿尔法之树表示，奖励通常是根据伤害程度来计算的。 目前，我们还没有证明这个漏洞可以稳定复现，所以他不指望百万美元的奖励。

安全奖励的数额是一个微妙的平衡。 它必须足够大，让黑客愿意举报； 但是如果奖励过大，就会引起一帮人疯狂攻击，想方设法找漏洞。

在去中心化时代，Tree of Alpha 也对用户有吸引力。 区块链技术虽然为我们解决了很多“信任”问题，但还是有很多细节需要注意，比如你使用的智能合约是否足够安全，你的电子钱包是否会被抢劫或破解，甚至是交易所你加入了，可能根本就是一个骗局。