Vulnerabilità di Coinbase Trading esposta da un hacker white-hat

Venerdì pomeriggio, l'exchange Criptovaluta Coinbase è stato informato di una vulnerabilità nei suoi sistemi di trading dall'hacker white-hat pseudonimo "Tree of Alpha". Ha quindi sospeso temporaneamente le negoziazioni sul suo nuovo Piattaforma di trading avanzata.

Verso le 18:00 UTC (13:00 ET) di venerdì,@Albero_dell_Alfaha attirato l'attenzione della dirigenza di Coinbase dopo aver twittato di aver trovato un exploit "potenzialmente in grado di distruggere il mercato" e di aver inviato un rapporto su HackerOne.

HackerOne è una piattaforma che gestisce programmi bug bounty per le aziende,incluso Coinbase.

"La questione è delicata e potrebbe consentire a utenti malintenzionati di inviare tutti i libri degli ordini di Coinbase a prezzi arbitrari", ha detto l'hacker white-hat a CoinDesk tramite Twitter.

Coinbase è ONE dei più grandi exchange Criptovaluta e i suoi feed sui prezzi vengono utilizzati anche come input per gli oracoli, che determinano i prezzi reali dei token per applicazioni quali i protocolli Finanza decentralizzata (DeFi).

Dopo che il tweet iniziale ha scatenato l'allarme nella comunità Cripto , Tree of Alpha ha pubblicato un tweet successivo affermando: "Nessuno dei depositi Coinbase (freddi o meno) è interessato".

Entro due ore dal tweet iniziale di Tree of Alpha, l'account Twitter di Coinbase Support ha annunciato che, per motivi tecnici, Coinbase stava disabilitando il trading sulla sua nuova piattaforma Advanced Trading. Mentre il servizio sarebbe stato ancora accessibile, gli utenti avrebbero potuto annullare gli ordini esistenti ma non piazzarne di nuovi. Il servizio Advanced Trading è disponibile solo per un pubblico limitato.

Intorno alle 23:00 UTC (18:00 ET), Coinbase ha twittato di aver "riattivato il servizio completo per il trading avanzato al dettaglio".

Il CEO di Coinbase Brian Armstrong ha pubblicamente twittato il suo apprezzamento per l'assistenza di Tree of Alpha, scrivendo: ".@Tree_of_Alpha sei fantastico, un grande grazie per aver lavorato con il nostro team. Adoro come la comunità Cripto si aiuta a vicenda!"

T è la prima volta che Tree of Alpha segnala ad influenti aziende Cripto vulnerabilità nel loro codice sorgente.

Il mese scorso, Tree of Alphacontattato CoinDesk su un problema relativo al sistema di gestione dei contenuti (CMS) del sito. L'exploit ha consentito ai programmatori esperti di visualizzare i titoli degli articoli CoinDesk salvati come bozze, informando le decisioni di trading in base a informazioni non pubbliche. Il problema è stato da allora risolto.

Tree of Alpha ha anche esplorato il sito web del Maker di auto elettriche Tesla, twittare che la società era pronta a gestire i pagamenti in Cripto sul suo sito ONE giorno prima della conferenza ufficiale del CEO ELON Musk del 14 gennaio annuncio che i prodotti Tesla potessero essere acquistati in Dogecoin.

Tree of Alpha sperimenta con i siti web, alla ricerca di informazioni rivelatrici che potrebbero essere utilizzate per scambi redditizi. Di tanto in tanto, l'hacker esperto si imbatte in una vulnerabilità importante da segnalare.

"In generale, faccio trapelare e lavoro per chiudere l'alpha solo quando diventa troppo diffuso e diventa vantaggioso averlo sistemato per livellare di nuovo il campo di gioco", ha detto Tree of Alpha a CoinDesk in un messaggio su Twitter, quando gli è stato chiesto quali fossero le loro motivazioni per aver twittato l'alpha.

"[Il problema di Coinbase] tuttavia non era una versione alpha, si è trattato di un grave exploit che avrebbe potuto gettare il mercato nel caos", hanno affermato.