Falha da Coinbase permitia venda de criptomoedas que usuários não possuiam

Falha da Coinbase permitia venda de criptomoedas que usuários não possuiam

Por Dácio Castelo Branco | Editado por Claudio Yuge | 23 de Fevereiro de 2022 às 20h20
Divulgação/Sulayman Sanyang/Pixabay

Semana passada, foi noticiado que um ‘hacker do bem” havia ajudado a corretora CoinBase a resolver uma falha crítica em seus sistemas, mas sem muitos detalhes do problema sendo divulgado. Mas no último sábado (19), o especialista veio a público e explicou o que aconteceu.

O erro, segundo explicado por Tree of Alpha, o responsável pela descoberta do problema, era na forma que a API da CoinBase processava as ordens de compras de criptomoedas, exigindo identificação de produto, fonte e destinatário.

Foi observando essas identificações que o Tree of Alpha percebeu que poderia trocar quantias semelhantes de diferentes criptomoedas entre duas contas ignorando a conversão dos valores. Por exemplo, ele poderia oferecer a venda de 100 SHIB, mas editando a identificação para 100 Bitcoin (BTC), com a ordem de compra sendo registrada dessa forma e aparecendo para outros clientes da exchange dessa forma.

No teste realizado pelo especialista, ele utilizou 0,023 ETH (cerca de US$ 70, R$ 350) da sua conta para registrar uma ordem de venda, mas modificou a criptomoeda para 0,023 BTC (US$ 1 mil, R$ 5 mil) durante o processo, um lucro enorme possível por conta da falha.

Problema da Coinbase podia impactar criticamente mercado de criptomoedas

Caso o problema se tornasse público antes de sua correção, ele poderia apresentar um verdadeiro impacto negativo para o mercado de criptomoedas, já que usuários seriam capazes de vender ativos que eles não possuíam, mesmo com as ordens de compra e venda aparecendo de forma oficial no sistema da corretora.

Por ter encontrado o problema e não ter divulgado ele publicamente antes de informar a corretora, Tree of Alpha recebeu da Coinbase uma recompensa de US$ 250 mil (cerca de R$ 1,2 milhão), além de agradecimento público do próprio CEO da exchange, Brian Armstrong.

Fonte: LiveCoins

Gostou dessa matéria?

Inscreva seu email no Canaltech para receber atualizações diárias com as últimas notícias do mundo da tecnologia.