Coinbase pagó su mayor recompensa por errores el viernes, recompensando a un investigador con $ 250,000 por descubrir una falla en la interfaz comercial de la plataforma criptográfica.
El 11 de febrero, un investigador llevó a Twitter para decir que encontraron una vulnerabilidad «potencialmente nuclear del mercado» que debía abordarse lo antes posible. Coinbase dijo que recibió un informe a través de HackerOne del investigador ese mismo día y trabajó rápidamente para corregir el error.
El problema involucró una falla específica en una API para comercio minorista avanzado, y los ingenieros de Coinbase finalmente pudieron reproducir el error. Deshabilitaron todas las operaciones nuevas colocando la plataforma de Comercio Avanzado Minorista en modo de solo cancelación antes de validar y lanzar un parche.
La vulnerabilidad nunca fue utilizada por un atacante, según Coinbase.
«La causa subyacente del error fue una verificación de validación de lógica faltante en un punto final de la API de corretaje minorista, lo que permitió a un usuario enviar transacciones a un libro de pedidos específico utilizando una cuenta de origen que no coincidía», explicó Coinbase. «Esta API solo la utiliza nuestra plataforma de operaciones minoristas avanzadas, que actualmente se encuentra en una versión beta limitada».
«Para dar un ejemplo: un usuario tiene una cuenta con 100 SHIB y una segunda cuenta con 0 BTC. El usuario envía una orden de mercado al libro de pedidos de BTC-USD para vender 100 BTC, pero edita manualmente su solicitud API para especificar su cuenta SHIB como fuente de fondos. Aquí, el servicio de validación verificaría para determinar si la cuenta de origen tenía un saldo suficiente para completar la operación, pero no si la cuenta de origen coincidía con el activo propuesto para enviar la operación. Como resultado, un la orden de mercado para vender 100 BTC en el libro de órdenes BTC-USD se ingresaría en Coinbase Exchange».
Coinbase afirma que la vulnerabilidad no podría haberse ampliado para crear un ataque mayor porque «Coinbase Exchange tiene interruptores automáticos de protección de precios» y su equipo de vigilancia comercial monitorea los mercados en busca de actividad comercial anómala.
La compañía de criptomonedas instó a otros investigadores a que se sometieran a su programa HackerOne.
El investigador que descubrió el problema, el usuario de Twitter Tree_of_Alpha, explicó el exploit:
Tree_of_Alpha elogió a Coinbase por su rápida respuesta al problema, e incluso en su hilo original de Twitter, los representantes de Coinbase respondieron a su advertencia casi de inmediato. Brian Armstrong, CEO de Coinbase agradeció el investigador para la captura de la vulnerabilidad.
En octubre, Coinbase envió cartas de notificación de incumplimiento a miles de usuarios después de que descubrieron una «campaña de terceros para obtener acceso no autorizado a las cuentas de los clientes de Coinbase y sacar los fondos de los clientes de la plataforma Coinbase».
