某使用者幫Coinbase解決重大漏洞，獎…

一個有趣的帖子出現在了/r/Bitcoin子板論壇上，一位名為“pxallin1122”的使用者稱，他幫助Coinbase公司解決了一個重大財務漏洞，儘管他也拿到了一小筆bug賞金，但令他感到不悅的是，coinbase在沒有給出明確原因的情況下關閉了他的賬戶。

悲劇

原帖翻譯如下：

從2015年6月份開始，我使用了Coinbase作為我的“線上比特幣金庫”，大約是4-5個月之後吧，我手中的比特幣也從2500美元增持到了10000美元。我對他們的“金庫”（vault）系統是怎樣工作的，感到非常好奇，我想要知道它是有多安全的。在測試了它大約一個多星期之後，我從coinbase的網站上找到了一個非常重要的漏洞。概括地講，這個漏洞可以讓我在賬戶餘額為負的情況下繼續提現btc，可能會導致我大量地提取比特幣，但實際上我是沒有這些幣的。我沒有選擇利用這個漏洞，反而決定幫助Coinbase去修復這個漏洞，一步一步地告訴他們如何在hackerone上重現這個bug。當coinbase修復完這個漏洞之後，他們給了我5000美元的獎金，我認為這是不公平的，我期待中應該是有25000美元。如果沒有我幫助他們修復這個bug，他們可能會因此而損失數十萬美元，如果這個漏洞被一定數量的人所使用，他們的損失甚至可能達到數百萬美元。

在我得到我的賞金之後，他們“祕密”地封殺了我的賬戶，我對此感到了深深的感動，我完全不知道發生了什麼，他們就發了一封郵件給我，告訴我說我的賬戶被禁或者鎖定了。然後，我發現他們把我的比特幣也鎖定了，我沒法提現也沒法進行使用。我發了幾封郵件給他們，但沒有收到明確的答覆。經過進一步調查他們的“Vault ”產品，我發現幾乎和之前同樣的漏洞還是存在著。在通知Coinbase這個新的漏洞之後，他們花了幾個月的時間來解決hackerone的問題，然後他們在沒有給出相關原因的情況下，完全禁止了我的coinbase帳戶，之後關於hackerone的事他們又聯絡了我，希望我能給出進一步的指示，他們清楚地知道我無法做到這一點，因為在提問之前，他們已經禁止了我的賬戶。隨著時間的流逝，Coinbase沒有給出明確的答覆，並給這個新漏洞貼上了“提供有用訊息”的標籤，也沒有給我任何的賞金。我通過新賬戶，想要再檢查下這個新漏洞，發現他們已經進行了修復，當然，也沒有給我獎勵。

我曾不想把這件事公之於眾，我想過和Coinbase進行私了，但遺憾的是，我沒有得到應有的回應，我沒有其他的選擇，只能把這件事分享給所有人。

證明：

第一個利用hackerone上的漏洞：

pof1

第一次正確執行漏洞的證明：

pof2

在Coinbase修復第二個漏洞之後，他們禁止我賬戶的證明：

pof3

在他們修復第二個漏洞，禁止我訪問coinbase之後，第二個漏洞被標記為“提供有用訊息”：

pof4

注：我只是用Coinbase來保管我的比特幣，我從未用Coinbase來買幣或者賣幣。

更新：Coinbase已經給我發了郵件，表示他們會對我上報的關於Hackerone的資訊，進行重新評估。