Un especialista en ciberseguridad recibió una recompensa de $250,000 USD gracias a su reporte de una vulnerabilidad crítica en la plataforma de intercambio de criptomoneda Coinbase cuya explotación habría permitido realizar un complejo fraude electrónico.
El investigador identificado como Tree of Alpha fue reconocido por la plataforma de intercambio, recibiendo una de las recompensas por reporte de vulnerabilidades más grandes que ha entregado Coinbase.
En su reporte, el investigador menciona que la falla habría permitido a los usuarios de Coinbase vender criptomonedas que no eran suyas debido a la ausencia de una verificación adecuada en un endpoint de la API en la plataforma; un usuario explotando la falla habría podido enviar transacciones a un libro de pedido específico usando una cuenta de origen sin coincidir, otra forma de decir que estarían robando criptomoneda.
Al respecto, la plataforma de intercambio publicó un comunicado describiendo un ataque: “Supongamos que un usuario controla una cuenta con 100 SHIB y otra con 0 Bitcoin; el usuario podría enviar una orden de mercado al libro BTC-USD con el fin de vender 100 Bitcoin, editando manualmente su solicitud API para especificar la cuenta de SHIB como fuente de los activos intercambiados”.
En este punto, el servicio de validación verificaría para determinar si la cuenta de origen tenía un saldo suficiente para completar la operación, pero no si la cuenta de origen coincidía con el activo mencionado en la transacción: “De este modo, se ingresaría en Coinbase Exchange una orden de mercado para vender 100 BTC en el libro de órdenes BTC-USD”.
A través de su cuenta de Twitter, el investigador describió cómo fue explotada la falla para vender 0.0243 BTC empleando un respaldo en Ethereum: “Estas transacciones ocurrieron en verdad”, asegura Alpha. Al descubrir el problema, el investigador informó el error al programa de recompensas por errores de Coinbase, administrado mediante la plataforma HackerOne.
Coinbase reconoció y solucionó el error menos de seis horas después de recibir el reporte, aunque en su mensaje la plataforma descartó que el error hubiera sido explotado de forma activa: “Esta API solo la utiliza nuestra plataforma Retail Advanced Trading, que actualmente se encuentra en una versión beta muy limitada”.
Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).
Trabajando como arquitecto de soluciones de ciberseguridad, Alisa se enfoca en la protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad dentro de una variedad de empresas de seguridad cibernética. También tiene experiencia en diferentes industrias como finanzas, salud médica y reconocimiento facial.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad
