Falha da Coinbase permitia venda de criptomoedas que usuários não possuiam
Por Dácio Castelo Branco • Editado por Claudio Yuge |
Semana passada, foi noticiado que um ‘hacker do bem” havia ajudado a corretora CoinBase a resolver uma falha crítica em seus sistemas, mas sem muitos detalhes do problema sendo divulgado. Mas no último sábado (19), o especialista veio a público e explicou o que aconteceu.
- Hacker ético ajuda corretora de criptomoedas Coinbase a corrigir falha crítica
- "Robô do PIX" que prometia renda fixa com criptos na verdade é golpe de pirâmide
O erro, segundo explicado por Tree of Alpha, o responsável pela descoberta do problema, era na forma que a API da CoinBase processava as ordens de compras de criptomoedas, exigindo identificação de produto, fonte e destinatário.
Foi observando essas identificações que o Tree of Alpha percebeu que poderia trocar quantias semelhantes de diferentes criptomoedas entre duas contas ignorando a conversão dos valores. Por exemplo, ele poderia oferecer a venda de 100 SHIB, mas editando a identificação para 100 Bitcoin (BTC), com a ordem de compra sendo registrada dessa forma e aparecendo para outros clientes da exchange dessa forma.
No teste realizado pelo especialista, ele utilizou 0,023 ETH (cerca de US$ 70, R$ 350) da sua conta para registrar uma ordem de venda, mas modificou a criptomoeda para 0,023 BTC (US$ 1 mil, R$ 5 mil) durante o processo, um lucro enorme possível por conta da falha.
Problema da Coinbase podia impactar criticamente mercado de criptomoedas
Caso o problema se tornasse público antes de sua correção, ele poderia apresentar um verdadeiro impacto negativo para o mercado de criptomoedas, já que usuários seriam capazes de vender ativos que eles não possuíam, mesmo com as ordens de compra e venda aparecendo de forma oficial no sistema da corretora.
Por ter encontrado o problema e não ter divulgado ele publicamente antes de informar a corretora, Tree of Alpha recebeu da Coinbase uma recompensa de US$ 250 mil (cerca de R$ 1,2 milhão), além de agradecimento público do próprio CEO da exchange, Brian Armstrong.
Fonte: LiveCoins