Coinbase Trading Vulnerability Exposed by White-Hat Hacker

Ang Cryptocurrency exchange Coinbase ay naabisuhan tungkol sa isang kahinaan sa mga sistema ng kalakalan nito noong Biyernes ng hapon ng pseudonymous na white-hat hacker na "Tree of Alpha." Pansamantala nitong sinuspinde ang kalakalan sa bago nito Advanced Trading platform.

Bandang 6 p.m. UTC (1 p.m. ET) noong Biyernes, @Tree_of_Alpha nakuha ang atensyon ng pamunuan ng Coinbase pagkatapos mag-tweet na natagpuan nila ang isang "potensyal na market-nuking" na pagsasamantala at nagsusumite ng ulat ng HackerOne.

Ang HackerOne ay isang platform na nagpapatakbo ng mga bug bounty program para sa mga kumpanya, kabilang ang Coinbase.

"Sensitibo ang isyu at maaaring payagan ang mga malisyosong user na ipadala ang lahat ng Coinbase order book sa mga arbitrary na presyo," sinabi ng white-hat hacker sa CoinDesk sa pamamagitan ng Twitter.

Ang Coinbase ay ONE sa pinakamalaking palitan ng Cryptocurrency , at ang mga feed ng presyo nito ay ginagamit din bilang mga input para sa mga orakulo, na tumutukoy sa tunay na presyo ng mga token para sa mga aplikasyon tulad ng mga protocol ng decentralized Finance (DeFi).

Matapos ang paunang tweet ay nagdulot ng alarma sa komunidad ng Crypto , ang Tree of Alpha ay nag-post ng isang follow-on na tweet na nagsasabing, "Walang aktwal na imbakan ng Coinbase (malamig o kung hindi man) ang naapektuhan."

Sa loob ng dalawang oras ng paunang tweet ng Tree of Alpha, inihayag ng Coinbase Support Twitter account na, dahil sa mga teknikal na dahilan, hindi pinagana ng Coinbase ang pangangalakal sa bago nitong Advanced Trading platform. Habang maa-access pa rin ang serbisyo, magagawa ng mga user na kanselahin ang mga umiiral nang order ngunit hindi maglagay ng mga bagong order. Ang serbisyo ng Advanced na Trading ay magagamit lamang sa isang limitadong madla.

Bandang 11 p.m. UTC (6 p.m. ET), nag-tweet ang Coinbase na ito ay "muling pinagana ang buong serbisyo para sa retail advanced na kalakalan."

Ang CEO ng Coinbase na si Brian Armstrong ay pampublikong nag-tweet ng kanyang pasasalamat sa tulong ng Tree of Alpha, na nagsusulat, ".@Tree_of_Alpha ang galing mo - isang malaking pasasalamat sa pakikipagtulungan sa aming team. Gustung-gusto kung paano tinutulungan ng Crypto community ang isa't isa!"

T ito ang unang pagkakataon na nag-notify ang Tree of Alpha sa mga maimpluwensyang kumpanya ng Crypto tungkol sa mga kahinaan sa kanilang codebase.

Noong nakaraang buwan, Tree of Alpha nakipag-ugnayan CoinDesk tungkol sa isyung nakapalibot sa content management system (CMS) ng site. Ang pagsasamantala ay nagpapahintulot sa mga matalinong programmer na tingnan ang mga ulo ng balita ng mga artikulo ng CoinDesk na na-save bilang mga draft, na nagpapaalam sa mga desisyon sa pangangalakal batay sa hindi pampublikong impormasyon. Ang isyu ay mula noon naresolba.

Ginalugad din ng Tree of Alpha ang website ng Maker ng electric car na Tesla, nagtweet na handa ang kumpanya na pangasiwaan ang mga pagbabayad ng Crypto sa site nito ONE araw bago ang opisyal ng CEO na si ELON Musk noong Enero 14 anunsyo na ang Tesla merchandise ay mabibili sa Dogecoin.

Mga eksperimento sa Tree of Alpha sa mga website, na naghahanap ng naghahayag na impormasyon na maaaring magamit para sa mga kumikitang trade. Paminsan-minsan, ang savvy hacker ay nakakaharap ng isang malaking kahinaan upang mag-ulat.

"Sa pangkalahatan, tumutulo lang ako at nagsusumikap na maisara ang alpha kapag ito ay lumaganap na at magiging kapaki-pakinabang na ayusin ito upang mapantayan muli ang larangan ng paglalaro," sinabi ni Tree of Alpha sa CoinDesk sa isang mensahe sa Twitter, nang tanungin tungkol sa kanilang mga motibasyon para sa pag-tweet ng alpha.

"[Ang isyu ng Coinbase] gayunpaman ay hindi alpha, ito ay isang seryosong pagsasamantala na maaaring magpadala sa merkado sa gulo," sabi nila.