Un chercheur en sécurité a reçu une prime de bogue de 250 000 $ pour avoir divulgué une vulnérabilité dans Coinbase qui aurait pu permettre à un utilisateur de « vendre » de la monnaie qu’il ne possédait pas.
Le bogue a été repéré par l’ingénieur en sécurité ‘Arbre d’Alpha‘, dont la divulgation les a amenés à recevoir ce mois-ci le plus gros paiement de prime jamais réalisé par l’échange de crypto-monnaie.
Alpha a découvert qu’ils étaient capables d’échanger une crypto-monnaie qui n’était pas la leur en raison d’un contrôle de validation logique manquant dans un point de terminaison de l’API Retail Brokerage, ce qui permettait à un utilisateur de soumettre des transactions à un carnet de commandes spécifique à l’aide d’un compte source incompatible.
Cela aurait potentiellement permis à un attaquant de voler un nombre illimité de crypto-monnaies sur la plate-forme.
Des places boursières
UN article de blog de Coinbase décrit l’attaque : « Un utilisateur a un compte avec 100 SHIB, et un second compte avec 0 BTC.
« L’utilisateur soumet un ordre au marché au carnet d’ordres BTC-USD pour vendre 100 BTC, mais modifie manuellement sa demande API pour spécifier son compte SHIB comme source de fonds.
« Ici, le service de validation vérifierait si le compte source avait un solde suffisant pour terminer la transaction, mais pas si le compte source correspondait à l’actif proposé pour soumettre la transaction.
« En conséquence, un ordre de marché pour vendre 100 BTC sur le carnet d’ordres BTC-USD serait saisi sur Coinbase Exchange. »
« Potentiellement nuisant au marché »
Alpha a décrit sur Twitter comment ils ont utilisé 0,0243 ETH pour vendre 0,0243 BTC sur la paire BTC-USD, « une paire à laquelle je n’ai pas accès, sans détenir aucun BTC ».
Ils a continué: « En espérant qu’il s’agisse d’un bug de l’interface utilisateur, je vérifie les remplissages de la commande et ils correspondent à l’API : ces échanges ont vraiment eu lieu, sur le carnet de commandes en direct. »
CONSEILLÉ Un couple accusé d’avoir blanchi le produit d’un piratage de crypto-monnaie Bitfinex de 4,5 milliards de dollars
En découvrant le problème, Alpha a signalé le bogue au programme Coinbase bug bounty, géré par HackerOne.
Ils aussi pris sur Twitter pour trouver un contact chez Coinbase, pour les avertir de la découverte « potentiellement nucléarisant le marché ».
Solution d’urgence
De manière impressionnante, Coinbase a répondu et le bogue a été corrigé en moins de six heures, l’échange «déterminant de manière concluante» qu’il n’avait jamais été exploité de manière malveillante.
Le billet de blog continue : « Cette API n’est utilisée que par notre plateforme Retail Advanced Trading, qui est actuellement en version bêta limitée.
« Il y avait des facteurs atténuants qui auraient limité l’impact de cette faille si elle avait été exploitée à grande échelle.
«Par exemple, Coinbase Exchange dispose de disjoncteurs automatiques de protection des prix, et notre équipe de surveillance commerciale surveille en permanence nos marchés pour la santé et les activités commerciales anormales.
« Grâce au chercheur qui a révélé ce problème de manière responsable, Coinbase a pu corriger ce bogue en quelques heures et déterminer de manière concluante qu’il n’a jamais été exploité de manière malveillante.
« Nous avons également mis en place des contrôles supplémentaires pour nous assurer que cela ne se reproduise plus. »
jour de paie
Alpha a reçu 250 000 $, le paiement le plus élevé de Coinbase à ce jour, bien que le montant potentiel de fonds perdu si la vulnérabilité était exploitée est pâle en comparaison.
La gorgée quotidienne a contacté le chercheur en sécurité pour plus de commentaires.
