Un programador anónimo descubrió una vulnerabilidad en el intercambio Coinbase que le permitía usar el token meme Shiba Inu (SHIB) como si fueran Bitcoin (BTC).
La historia comenzó el 11 de febrero, cuando el perfil de Tree of Alpha tuiteó que había descubierto un error “potencialmente devastador”. De hecho, él solo podría causar una gran caída en el precio de BTC si fuera un pirata informático malicioso.
Rápidamente se puso en contacto con el equipo de seguridad de Coinbase e informó la falla. Inmediatamente, las órdenes en la plataforma de negociación avanzada del intercambio se detuvieron para corregir el error.
La mayor recompensa por error en la historia de Coinbase
El sábado (19), después de que se solucionó el problema, Tree of Alpha finalmente reveló detalles de lo que había descubierto y cuánto ganó como recompensa: $250.000.
La falla en la nueva funcionalidad comercial avanzada, dijo, permitiría a un pirata informático malicioso vender bitcoins sin tener que poseerlos.
Alpha dice que al principio decidió explorar la nueva plataforma de negociación avanzada para averiguar cómo se envían los pedidos y cómo es un pedido exitoso.
“Hice un pedido en el par ETH-EUR en la interfaz de usuario y tomé la solicitud que se envió. Noté que la API necesita ID de cuenta de producto, origen y destino”, escribió el usuario compartiendo la siguiente captura de pantalla:
Luego, el programador anónimo cambió la identificación del producto a BTC-USD, sin cambiar las dos identificaciones de cuenta (la fuente es la billetera ETH y el destino es la billetera EUR). Por supuesto, esperaba que el comando devolviera un mensaje de falla, pero la plataforma simplemente aceptó la solicitud.
“Acabo de usar 0.0243 ETH para vender 0.0243 BTC en el par BTC-USD, un par al que no tengo acceso, sin tener BTC. Con la esperanza de que esto sea un error de la interfaz de usuario, verifiqué los rellenos en el pedido y coincidieron con la API: estas ofertas realmente sucedieron, en el libro de pedidos en vivo”, dijo Tree of Alpha.
Después de encontrar esta absurda vulnerabilidad, se dispuso a realizar la prueba final. Tree of Alpha depositó SHIB (una moneda meme cuyo precio unitario es muy bajo) en su cuenta de Coinbase y usó estas monedas para realizar un pedido de venta de bitcoin.
Fueron 50 BTC en una orden de venta a $38.440, incluso sin tener ningún bitcoin en la cuenta. Al preguntar a sus amigos si podían ver este pedido en su interfaz, la respuesta fue positiva.
“Francamente, no hay tantas cosas tan serias y aterradoras como darse cuenta de que acaba de realizar una orden de venta de 50 BTC usando 50 SHIB y todos pueden verlo”, reflexionó el cliente de Coinbase.
Tras confirmar la vulnerabilidad, publicó el primer tuit sobre el tema, el que informamos en el artículo “Potencialmente devastador; Reporte de ataque de hacker contra Coinbase en twitter”.
Según él, la respuesta del intercambio fue rápida y merece reconocimiento. “Aunque a veces tengo problemas con Coinbase, no estoy seguro de haber podido ponerme al día con cualquier otro intercambio centralizado tan rápido en la misma situación”, dijo.
Un mal actor podría ganar dinero fácilmente abriendo órdenes cortas (apostando en bitcoin bajista) en diferentes intercambios como FTX y Binance, mientras hace temer al mercado en Coinbase y baja el precio con órdenes de venta de 100.000 bitcoins.
Para colmo, nada impediría que el hacker aumentara la presión de venta liquidando 50 monedas por minuto, por ejemplo, solo usando SHIB.
“Nunca sabremos exactamente qué podría haber sucedido si un hacker de sombrero negro intentara explotarlo, y es lo mejor. Si bien yo mismo podría haber intentado mostrar órdenes de venta de límite enorme, las pruebas responsables requieren que haga solo lo necesario para evaluar el alcance del error.” problema grave en un intercambio de criptomonedas gigante.