White-Hat Hacker descubre un error letal en la interfaz de Coinbase

• El principal intercambio de criptomonedas, Coinbase, ha corregido una grave vulnerabilidad en su interfaz comercial.
• La falla descubierta podría haber causado que el intercambio perdiera cientos de millones de dólares.
• El investigador de seguridad «Tree of Alpha» descubrió el error mortal y lo informó a través del programa de recompensas de errores de Coinbase.
• Coinbase asegura que el error no fue explotado maliciosamente antes de que su equipo de respuesta lo corrigiera.

Cómo funcionó el error

Comenzó con un informe de un pirata informático ético, presentado al equipo de seguridad de Coinbase el 11 de febrero de 2022. El informe se produjo una semana antes de que Coinbase reconociera oficialmente que, de hecho, estaba expuesto a un posible ataque.

El hacker de sombrero blanco (con el apodo de Tree of Alpha) revelado en un extenso hilo de Twitter el sábado cómo descubrieron exactamente el error. El investigador dijo que se encontró con una falla al analizar la interfaz de usuario de la nueva función de negociación avanzada de Coinbase. Después de realizar algunas transacciones y cambiar las ID de los elementos en la API, Tree of Alpha descubrió rápidamente que había un error lógico con la nueva funcionalidad de Coinbase. Un descuido lo suficientemente significativo como para causar pérdidas de millones de dólares.

Según Tree of Alpha, su investigación de un error comenzó con la investigación de los detalles enviados a la API mientras se completaban las transacciones. Después de reconocer las identificaciones requeridas, Tree of Alpha jugueteó con algunos valores.

Decidí echar un vistazo a la nueva plataforma de negociación avanzada para averiguar cómo se envían los pedidos… Realicé un pedido de ETH-EUR desde la interfaz de usuario y obtuve la solicitud que se envió. Noté que la API necesita ID de cuenta de producto, origen y destino «.

Los cambios de Tree of Alpha deberían haber forzado una transacción imposible y devuelto un error. no lo hicieron

Para recibir un mensaje fallido”, dijeron. “Cambié product_id a BTC-USD, pero no cambié las dos ID de cuenta (la fuente es mi billetera ETH, el destino es mi billetera EUR). Esperando un error porque mi cuenta no está autorizada para operar con el par BTC-USD, la orden simplemente… se realiza.

Tree of Alpha ha ejecutado órdenes similares un par de veces más, esta vez usando 50 monedas SHIB para ejecutar con éxito una transferencia de 50 BTC. En contexto, 50 SHIB equivalen a $ 0.0014 al momento de escribir. 50 Bitcoins, por otro lado, equivalen aproximadamente a $ 2 millones. Usando una cuenta SHIB, si un atacante decide cambiar manualmente su API, enviando órdenes de mercado para vender 100 BTC cada minuto, no hay límite para las posibles pérdidas en las que podría incurrir.

En resumen, la ramificación del error es que los usuarios pueden ingresar operaciones de activos sin saldo existente. Al cambiar manualmente de la cuenta de origen en una solicitud de API a otra con algunas criptomonedas, un usuario podría reservar pedidos de criptomonedas de mayor valor utilizando otras más pequeñas.

La respuesta de Coinbase

Preocupado de que la filtración pudiera caer en las manos equivocadas, el pirata informático buscó rápidamente el contacto con el equipo de respuesta de Coinbase. Los usuarios de Twitter invitaron a Tree of Alpha a presentar un informe de vulnerabilidad a través del programa de recompensas de errores de Coinbase el Hackerone. Esto sucedió una hora antes de que el investigador de Tree of Alpha pudiera hacerlo. obtener La atención del CEO Brian Amstrong.

.@Albero_di_Alfa Eres fantástico. Muchas gracias por trabajar con nuestro equipo.

¡Me encanta la forma en que la comunidad criptográfica se ayuda mutuamente!

– Brian Armstrong – barmstrong.eth (@brian_armstrong) 11 de febrero de 2022

El equipo de respuesta de seguridad de Coinbase abordó la queja del hacker a los pocos minutos de informar. Luego, el equipo verificó otras interfaces de usuario para ver si estaban afectadas. Coinbase dijo que no encontró otras inconsistencias.

Según Coinbase, si un atacante hubiera detectado el error antes del parche, el daño en realidad habría sido limitado.

Existían atenuantes que habrían limitado el impacto de este defecto si hubiera sido explotado a gran escala”, ley Informe Coinbase.

El intercambio dice que medidas como interruptores automáticos de protección de precios y un equipo de supervisión que supervise las actividades comerciales anormales reducirían el daño.