Vulnerabilidad en el trading de Coinbase expuesta por un hacker de sombrero blanco

El viernes por la tarde, el hacker de sombrero blanco seudónimo "Tree of Alpha" notificó a Coinbase, la plataforma de intercambio de Criptomonedas, una vulnerabilidad en sus sistemas de negociación. Posteriormente, suspendió temporalmente las operaciones en su nueva plataforma. Plataforma de trading avanzada.

Alrededor de las 6 p.m. UTC (1 p.m. ET) del viernes,@Árbol_de_Alfallamó la atención de los líderes de Coinbase después de tuitear que encontraron un exploit "potencialmente devastador para el mercado" y que estaban enviando un informe de HackerOne.

HackerOne es una plataforma que ejecuta programas de recompensas por errores para empresas,incluyendo Coinbase.

"El problema es delicado y podría permitir a usuarios maliciosos enviar todos los libros de pedidos de Coinbase a precios arbitrarios", dijo el hacker de sombrero blanco a CoinDesk a través de Twitter.

Coinbase es ONE de los intercambios de Criptomonedas más grandes, y sus fuentes de precios también se utilizan como entradas para los oráculos, que determinan los precios reales de los tokens para aplicaciones como los protocolos de Finanzas descentralizadas (DeFi).

Después de que el tuit inicial generara alarma en la comunidad Cripto , Tree of Alpha publicó un tuit de seguimiento que decía: "Ningún almacenamiento real de Coinbase (frío o de otro tipo) se vio afectado".

Dos horas después del tuit inicial de Tree of Alpha, la cuenta de Twitter de soporte de Coinbase anunció que, por razones técnicas, Coinbase deshabilitaba las operaciones en su nueva plataforma de Operaciones Avanzadas. Si bien el servicio seguiría disponible, los usuarios podrían cancelar órdenes existentes, pero no realizar nuevas. El servicio de Operaciones Avanzadas está disponible solo para un público limitado.

Alrededor de las 11 p.m. UTC (6 p.m. ET), Coinbase tuiteó que había "reactivado el servicio completo para el comercio minorista avanzado".

El director ejecutivo de Coinbase, Brian Armstrong, tuiteó públicamente su agradecimiento por la ayuda de Tree of Alpha: "@Tree_of_Alpha, eres increíble. Muchas gracias por trabajar con nuestro equipo. ¡Me encanta cómo la comunidad de Cripto se ayuda mutuamente!".

Esta no es la primera vez que Tree of Alpha notifica a empresas de Cripto influyentes sobre vulnerabilidades en su base de código.

El mes pasado, Tree of Alphacontactado CoinDesk sobre un problema relacionado con el sistema de gestión de contenido (CMS) del sitio. El exploit permitía a programadores expertos ver los titulares de los artículos de CoinDesk guardados como borradores, lo que informaba sobre decisiones comerciales basadas en información no pública. El problema se ha solucionado desde entonces. resuelto.

Tree of Alpha también ha explorado el sitio web del Maker de automóviles eléctricos Tesla, tuiteando que la compañía estaba lista para manejar pagos de Cripto en su sitio un día antes de la presentación oficial del CEO ELON Musk el 14 de enero. anuncio que los productos de Tesla se podrían comprar en Dogecoin.

Tree of Alpha experimenta con sitios web en busca de información reveladora que pueda utilizarse para operaciones rentables. En ocasiones, el hacker astuto encuentra una vulnerabilidad importante que debe reportar.

“En general, solo filtro y trabajo para cerrar alfa una vez que se vuelve demasiado común y se vuelve ventajoso arreglarlo para nivelar el campo de juego nuevamente”, dijo Tree of Alpha a CoinDesk en un mensaje de Twitter, cuando se le preguntó sobre sus motivaciones para tuitear alfa.

“Sin embargo, [el problema de Coinbase] no fue una versión alfa, fue un grave exploit que podría haber desestabilizado el mercado”, dijeron.