Um programador anônimo descobriu uma vulnerabilidade na exchange Coinbase que o possibilitou usar moedas meme Shiba Inu como se fossem Bitcoin (BTC).
A história começou no dia 11 de fevereiro, quando o perfil Tree of Alpha tuitou que tinha descoberto um bug “potencialmente devastador“. De fato, ele poderia sozinho causar uma enorme queda no preço do BTC se fosse um hacker mal-intencionado.
Rapidamente ele conseguiu contato com o time de segurança da Coinbase e reportou a falha. Imediatamente, as ordens na plataforma de trading avançado da corretora foram pausadas para que o bug fosse corrigido.
Maior recompensa por bug da história da Coinbase
No sábado (19), após o problema ser corrigido, o Tree of Alpha finalmente revelou detalhes do que ele tinha descoberto e o quanto ganhou como recompensa: US$250.000,00.
A falha na nova funcionalidade de trading avançado, segundo ele, permitiria que um hacker malicioso vendesse bitcoins sem precisar possuí-los.
Alpha conta que, a princípio, decidiu explorar a nova plataforma de negociação avançada para descobrir como as ordens são enviadas e como uma ordem bem-sucedida se parece.
“Coloquei uma ordem [no par] ETH-EUR na interface do usuário e peguei a solicitação que foi enviada. Percebi que a API precisa de IDs de conta de produto, origem e destino.”, escreveu o usuário compartilhando a seguinte captura de tela:
Em seguida, o programador anônimo alterou o ID do produto para BTC-USD, sem alterar os dois IDs de conta (origem sendo a carteira de ETH e o destino a carteira de EUR). Obviamente, ele esperava que o comando retornasse uma mensagem de falha, mas a plataforma simplesmente aceitou o pedido.
“Acabei de usar 0,0243 ETH para vender 0,0243 BTC no par BTC-USD, um par ao qual não tenho acesso, sem ter nenhum BTC. Esperando que isso seja um bug da interface do usuário, verifiquei os preenchimentos no pedido e eles correspondem à API: esses negócios realmente aconteceram, no livro de ordens ao vivo.”, disse Tree of Alpha.
Depois de encontrar essa vulnerabilidade absurda, ele partiu para o teste final. Tree of Alpha depositou SHIBA (uma moeda meme cujo preço unitário é muito baixo) para sua conta na Coinbase, e utilizou essas moedas para colocar uma ordem de venda de bitcoin.
Foram 50 BTC em uma ordem de venda a US$38.440,00, mesmo sem ter nenhum bitcoin na conta. Ao questionar seus amigos se eles conseguiam ver essa ordem na interface deles, a resposta foi positiva.
“Francamente, não há tantas coisas tão sérias e aterrorizantes quanto perceber que você acabou de colocar uma ordem de venda de 50 BTC usando 50 SHIB e todo mundo pode ver isso.”, refletiu o cliente da Coinbase.
Após confirmar a vulnerabilidade, ele publicou o primeiro tweet sobre o assunto, aquele que noticiamos na matéria “Potencialmente devastador; Denúncia de ataque hacker contra Coinbase no twitter“.
De acordo com ele, a resposta da exchange foi rápida e merece reconhecimento. “Embora às vezes eu tenha problemas com a Coinbase, não tenho certeza se poderia ter alcançado qualquer outra exchange centralizada tão rapidamente na mesma situação”, disse ele.
Um agente mal-intencionado poderia facilmente ganhar dinheiro abrindo ordens de short (apostando na baixa do bitcoin) em diferentes corretoras como FTX e Binance, enquanto faria o mercado ficar com medo na Coinbase e derrubar o preço com ordens de venda de 100 mil bitcoins.
Para piorar, nada impediria que o hacker aumentasse a pressão vendedora liquidando 50 moedas por minuto, por exemplo, apenas usando SHIB.
“Nunca saberemos exatamente o que poderia ter acontecido se um hacker de chapéu preto tentasse explorá-lo, e é melhor assim. Embora eu mesmo pudesse ter tentado exibir enormes ordens de venda com limite, o teste responsável exige que eu faça apenas o necessário para avaliar a extensão do bug.”, concluiu Tree of Alpha, que começou o ano com US$250.000 a mais por resolver um grave problema em uma gigante corretora de criptomoedas.
Veja mais: