Coinbase vient de verser une prime de 30 000 dollars suite à la découverte d’un bug critique dans ses systèmes. La faille a été enregistrée le 12 février par le programme de divulgation de vulnérabilités de Coinbase sur HackerOne. Un porte-parole de Coinbase a confirmé à Hard Fork que le bug avait été corrigé depuis, sans fournir plus de détails sur la question.
Actuellement, Coinbase dispose d’un système de récompenses à quatre niveaux basé sur la sévérité du bug : 200 USD pour les moins graves, 2 000 USD pour les moyennes, 15 000 USD pour les plus élevées et 50 000 USD pour les bugs critiques.
Le programme permet au public de signaler des failles dans les systèmes de coinbase en échange de récompenses pour "toutes les vulnérabilités logicielles dans les services fournis par Coinbase".
"Pour être considéré comme valide, le rapporteur doit démontrer une vulnérabilité logicielle dans un service fourni par Coinbase qui nuit aux clients de Coinbase ou à Coinbase", stipule le contrat de récompense de la société. "Coinbase attribue des primes en fonction de la gravité de la vulnérabilité. Nous déterminons la gravité en fonction de deux facteurs: impact et exploitabilité. ”
Pour pouvoir prétendre à une prime d'impact critique, une vulnérabilité doit permettre aux attaquants de lire ou modifier des données sensibles dans un système, d'exécuter du code arbitraire sur le système ou d'exfiltrer d'une manière ou d'une autre les cryptos ou les fiats.
Malgré des capacités de sécurité levées, les technologies de blockchain et de crypto-monnaie ne sont pas à l’abri des bugs. Coinbase n’est pas la seule société à gérer des problèmes de faille de sécurité dans son système. Les données partagées avec Hard Fork ont montré que les hackers ont empoché 878 000 USD de primes liées aux bugs blockchain en 2018.