Vulnerabilidade de negociação da Coinbase exposta por hacker de chapéu branco

A bolsa de Criptomoeda Coinbase foi notificada de uma vulnerabilidade em seus sistemas de negociação na tarde de sexta-feira pelo hacker white-hat pseudônimo “Tree of Alpha”. Em seguida, suspendeu temporariamente a negociação em seu novo Plataforma de negociação avançada.

Por volta das 18h UTC (13h ET) de sexta-feira,@Árvore_de_Alfachamou a atenção da liderança da Coinbase após tuitar que eles encontraram uma exploração “potencialmente devastadora do mercado” e estavam enviando um relatório ao HackerOne.

HackerOne é uma plataforma que executa programas de recompensa por bugs para empresas,incluindo Coinbase.

“A questão é sensível e pode permitir que usuários mal-intencionados enviem todos os livros de ordens da Coinbase a preços arbitrários”, disse o hacker white-hat ao CoinDesk via Twitter.

A Coinbase é uma das maiores exchanges de Criptomoeda , e seus feeds de preços também são usados ​​como entradas para oráculos, que determinam os preços reais dos tokens para aplicações como protocolos de Finanças descentralizadas (DeFi).

Após o tuíte inicial ter causado alarme na comunidade Cripto , a Tree of Alpha postou um tuíte subsequente dizendo: “Nenhum armazenamento real da Coinbase (frio ou não) foi afetado.”

Duas horas após o tweet inicial da Tree of Alpha, a conta do Twitter de suporte da Coinbase anunciou que, devido a razões técnicas, a Coinbase estava desabilitando a negociação em sua nova plataforma Advanced Trading. Embora o serviço ainda estivesse acessível, os usuários poderiam cancelar pedidos existentes, mas não fazer novos pedidos. O serviço Advanced Trading está disponível apenas para um público limitado.

Por volta das 23h UTC (18h ET), a Coinbase tuitou que havia “reativado o serviço completo para negociação avançada de varejo”.

O CEO da Coinbase, Brian Armstrong, tuitou publicamente sua apreciação pela assistência da Tree of Alpha, escrevendo, “.@Tree_of_Alpha você é incrível - um grande obrigado por trabalhar com nossa equipe. Adoro como a comunidade Cripto ajuda uns aos outros!”

Esta T é a primeira vez que a Tree of Alpha notifica empresas de Cripto influentes sobre vulnerabilidades em sua base de código.

No mês passado, a Árvore Alfacontatado CoinDesk sobre um problema envolvendo o sistema de gerenciamento de conteúdo (CMS) do site. O exploit permitiu que programadores experientes visualizassem manchetes de artigos do CoinDesk salvos como rascunhos, informando decisões de negociação com base em informações não públicas. O problema foi desde então resolvido.

A Tree of Alpha também explorou o site da Maker de carros elétricos Tesla, twittando que a empresa estava pronta para lidar com pagamentos Cripto em seu site um dia antes do CEO ELON Musk oficializar em 14 de janeiro anúncio que os produtos da Tesla poderiam ser comprados em Dogecoin.

A Tree of Alpha faz experimentos com sites, buscando informações reveladoras que possam ser usadas para negociações lucrativas. Ocasionalmente, o hacker experiente se depara com uma grande vulnerabilidade para relatar.

“Em geral, eu só vazo e trabalho para fechar o alfa quando ele se espalha muito e se torna vantajoso consertá-lo para equilibrar o campo de jogo novamente”, disse Tree of Alpha ao CoinDesk em uma mensagem no Twitter, quando questionado sobre suas motivações para twittar o alfa.

“[O problema da Coinbase], no entanto, não foi um alfa, foi uma exploração séria que poderia ter deixado o mercado em desordem”, disseram eles.