Um programador anônimo descobriu uma vulnerabilidade na exchange Coinbase que o possibilitou usar moedas meme Shiba Inu como se fossem Bitcoin (BTC).

A história começou no dia 11 de fevereiro, quando o perfil Tree of Alpha tuitou que tinha descoberto um bug “potencialmente devastador“. De fato, ele poderia sozinho causar uma enorme queda no preço do BTC se fosse um hacker mal-intencionado.

Rapidamente ele conseguiu contato com o time de segurança da Coinbase e reportou a falha. Imediatamente, as ordens na plataforma de trading avançado da corretora foram pausadas para que o bug fosse corrigido.

Maior recompensa por bug da história da Coinbase

No sábado (19), após o problema ser corrigido, o Tree of Alpha finalmente revelou detalhes do que ele tinha descoberto e o quanto ganhou como recompensa: US$250.000,00.

A falha na nova funcionalidade de trading avançado, segundo ele, permitiria que um hacker malicioso vendesse bitcoins sem precisar possuí-los.

Alpha conta que, a princípio, decidiu explorar a nova plataforma de negociação avançada para descobrir como as ordens são enviadas e como uma ordem bem-sucedida se parece. 

“Coloquei uma ordem [no par] ETH-EUR na interface do usuário e peguei a solicitação que foi enviada. Percebi que a API precisa de IDs de conta de produto, origem e destino.”, escreveu o usuário compartilhando a seguinte captura de tela:

Como a sua ordem no par ETH-EUR se parecia em linhas de comando
Como a sua ordem no par ETH-EUR se parecia em linhas de comando

Em seguida, o programador anônimo alterou o ID do produto para BTC-USD, sem alterar os dois IDs de conta (origem sendo a carteira de ETH e o destino a carteira de EUR). Obviamente, ele esperava que o comando retornasse uma mensagem de falha, mas a plataforma simplesmente aceitou o pedido.

“Acabei de usar 0,0243 ETH para vender 0,0243 BTC no par BTC-USD, um par ao qual não tenho acesso, sem ter nenhum BTC. Esperando que isso seja um bug da interface do usuário, verifiquei os preenchimentos no pedido e eles correspondem à API: esses negócios realmente aconteceram, no livro de ordens ao vivo.”, disse Tree of Alpha.

Trades no par BTC-USD em api.exchange.coinbase.com
Trades no par BTC-USD em api.exchange.coinbase.com

Depois de encontrar essa vulnerabilidade absurda, ele partiu para o teste final. Tree of Alpha depositou SHIBA (uma moeda meme cujo preço unitário é muito baixo) para sua conta na Coinbase, e utilizou essas moedas para colocar uma ordem de venda de bitcoin.

Foram 50 BTC em uma ordem de venda a US$38.440,00, mesmo sem ter nenhum bitcoin na conta. Ao questionar seus amigos se eles conseguiam ver essa ordem na interface deles, a resposta foi positiva.

Quatro usuários confirmando que veem a ordem falsa de Tree of Alpha.
Quatro usuários confirmando que veem a ordem falsa de Tree of Alpha.

“Francamente, não há tantas coisas tão sérias e aterrorizantes quanto perceber que você acabou de colocar uma ordem de venda de 50 BTC usando 50 SHIB e todo mundo pode ver isso.”, refletiu o cliente da Coinbase.

Após confirmar a vulnerabilidade, ele publicou o primeiro tweet sobre o assunto, aquele que noticiamos na matéria “Potencialmente devastador; Denúncia de ataque hacker contra Coinbase no twitter“.

De acordo com ele, a resposta da exchange foi rápida e merece reconhecimento. “Embora às vezes eu tenha problemas com a Coinbase, não tenho certeza se poderia ter alcançado qualquer outra exchange centralizada tão rapidamente na mesma situação”, disse ele.

Um agente mal-intencionado poderia facilmente ganhar dinheiro abrindo ordens de short (apostando na baixa do bitcoin) em diferentes corretoras como FTX e Binance, enquanto faria o mercado ficar com medo na Coinbase e derrubar o preço com ordens de venda de 100 mil bitcoins. 

Para piorar, nada impediria que o hacker aumentasse a pressão vendedora liquidando 50 moedas por minuto, por exemplo, apenas usando SHIB.

“Nunca saberemos exatamente o que poderia ter acontecido se um hacker de chapéu preto tentasse explorá-lo, e é melhor assim. Embora eu mesmo pudesse ter tentado exibir enormes ordens de venda com limite, o teste responsável exige que eu faça apenas o necessário para avaliar a extensão do bug.”, concluiu Tree of Alpha, que começou o ano com US$250.000 a mais por resolver um grave problema em uma gigante corretora de criptomoedas.

Veja mais:

A NovaDAX está cheia de novidades!

Uma das maiores corretoras de criptoativos do Brasil agora ZEROU as taxas para saque em real!

A NovaDAX também conta taxa zero para transações de Bitcoin e mais de 110 moedas listadas, com saque disponível na hora e alta liquidez. 

As criptomoedas com as melhores taxas do mercado! Basta ativar o programa gratuito Novawards e aproveitar taxas reduzidas em até 75%.

Conheça ainda o Cartão NovaDAX e peça já o seu.