Une vulnérabilité de trading Coinbase révélée par un hacker white hat

La plateforme d'échange de Cryptomonnaie Coinbase a été informée vendredi après-midi d'une vulnérabilité dans ses systèmes de trading par le hacker white hat pseudonyme « Tree of Alpha ». Elle a alors temporairement suspendu les échanges sur sa nouvelle plateforme. Plateforme de trading avancée.

Vers 18 heures UTC (13 heures HE) vendredi,@Tree_of_Alphaa attiré l'attention de la direction de Coinbase après avoir tweeté qu'ils avaient découvert un exploit « potentiellement destructeur de marché » et qu'ils soumettaient un rapport HackerOne.

HackerOne est une plateforme qui gère des programmes de bug bounty pour les entreprises,y compris Coinbase.

« Le problème est sensible et pourrait permettre à des utilisateurs malveillants d'envoyer tous les carnets de commandes Coinbase à des prix arbitraires », a déclaré le pirate informatique white-hat à CoinDesk via Twitter.

Coinbase est ONEun des plus grands échanges de Cryptomonnaie , et ses flux de prix sont également utilisés comme entrées pour les oracles, qui déterminent les prix réels des jetons pour des applications telles que les protocoles de Finance décentralisée (DeFi).

Après que le tweet initial ait déclenché l'alarme dans la communauté Crypto , Tree of Alpha a publié un tweet de suivi disant : « Aucun stockage Coinbase réel (à froid ou autre) n'est affecté. »

Moins de deux heures après le tweet initial de Tree of Alpha, le compte Twitter du support Coinbase a annoncé que, pour des raisons techniques, Coinbase désactivait le trading sur sa nouvelle plateforme de trading avancé. Le service resterait accessible, mais les utilisateurs pourraient annuler leurs ordres existants, mais pas en passer de nouveaux. Le service de trading avancé est réservé à un public restreint.

Vers 23 heures UTC (18 heures HE), Coinbase a tweeté qu'il avait « réactivé le service complet pour le trading avancé de détail ».

Brian Armstrong, PDG de Coinbase, a exprimé publiquement sur Twitter sa gratitude pour l'aide apportée par Tree of Alpha : « @Tree_of_Alpha, vous êtes formidable ! Un grand merci pour votre collaboration avec notre équipe. J'adore l'entraide au sein de la communauté Crypto ! »

Ce n'est T la première fois que Tree of Alpha informe des sociétés de Crypto influentes des vulnérabilités de leur base de code.

Le mois dernier, Tree of Alphacontacté CoinDesk a signalé un problème lié au système de gestion de contenu (CMS) du site. L'exploit permettait à des programmeurs expérimentés de consulter les titres des articles CoinDesk enregistrés comme brouillons, éclairant ainsi leurs décisions de trading sur la base d'informations non publiques. Le problème a depuis été résolu. résolu.

Tree of Alpha a également exploré le site Web du Maker de voitures électriques Tesla, tweeter que la société était prête à gérer les paiements en Crypto sur son site un jour avant la nomination officielle du PDG ELON Musk le 14 janvier. annonce que les produits Tesla pourraient être achetés en Dogecoin.

Tree of Alpha expérimente sur des sites web à la recherche d'informations révélatrices susceptibles d'être utilisées pour des transactions rentables. Il arrive que des pirates informatiques avisés découvrent une vulnérabilité majeure à signaler.

« En général, je ne fais que divulguer et travailler pour fermer l'alpha une fois qu'il devient trop répandu et qu'il devient avantageux de le réparer pour égaliser à nouveau les règles du jeu », a déclaré Tree of Alpha à CoinDesk dans un message Twitter, lorsqu'on lui a demandé quelles étaient ses motivations pour tweeter l'alpha.

« [Le problème de Coinbase] n’était cependant pas alpha, c’était un exploit sérieux qui aurait pu semer le désarroi sur le marché », ont-ils déclaré.