- L’échange cryptographique majeur Coinbase a résolu une grave vulnérabilité dans son interface de trading.
- Le problème découvert aurait pu faire perdre des centaines de millions de dollars à la bourse.
- Le chercheur en sécurité « Tree of Alpha » a découvert le bug mortel et l’a signalé via le programme Bug Bounty de Coinbase
- Coinbase assure que le bogue n’a pas été exploité de manière malveillante avant que son équipe de réponse ne le corrige.
Comment le bogue a fonctionné
Tout a commencé par un rapport d’un pirate éthique, déposé auprès de l’équipe de sécurité de Coinbase le 11 février 2022. Le rapport est arrivé une semaine avant que Coinbase ne reconnaisse officiellement qu’il avait effectivement été exposé à une éventuelle attaque.
Le hacker au chapeau blanc (avec le surnom d’Arbre d’Alpha) révélé dans un fil Twitter expansif samedi, comment exactement ils ont découvert le bogue. Le chercheur a déclaré avoir trébuché sur une faille en sondant l’interface utilisateur de la nouvelle fonctionnalité de trading avancé de Coinbase. Après avoir effectué quelques transactions et modifié les identifiants d’éléments dans l’API, Tree of Alpha a rapidement découvert qu’il y avait une erreur de logique avec la nouvelle fonctionnalité de Coinbase. Un oubli suffisamment important pour causer des pertes d’un million de dollars.
Selon Tree of Alpha, leur recherche d’un bogue a commencé par enquêter sur les détails envoyés à l’API lors de la réalisation des transactions. Après avoir reconnu les identifiants requis, Tree of Alpha a modifié certaines des valeurs.
J’ai décidé de parcourir la nouvelle plateforme de trading avancé pour savoir comment les commandes sont envoyées… J’ai passé une commande ETH-EUR à partir de l’interface utilisateur et j’ai saisi la demande qui a été envoyée. J’ai remarqué que l’API a besoin d’identifiants de produit, de compte source et cible. »
Les ajustements de Tree of Alpha étaient censés forcer une transaction impossible et renvoyer une erreur. Ils n’ont pas.
Afin de recevoir un message raté », ont-ils dit. « J’ai changé le product_id en BTC-USD, mais je n’ai pas changé les deux identifiants de compte (la source est mon portefeuille ETH, la cible est mon portefeuille EUR). Je m’attends à une erreur parce que mon compte n’est pas autorisé à échanger la paire BTC-USD, la commande est simplement… passée.
Tree of Alpha a exécuté des ordres similaires plusieurs fois, cette fois en utilisant 50 pièces SHIB pour exécuter un transfert réussi de 50 BTC. Dans le contexte, 50 SHIB équivaut à 0,0014 $, à l’écriture. 50 Bitcoins, en revanche, équivaut à peu près à 2 millions de dollars. En utilisant un compte SHIB, si un attaquant malveillant décide de modifier manuellement son API, tout en soumettant des ordres de marché pour vendre 100 BTC chaque minute, il n’y a aucune limite aux pertes possibles qui pourraient être subies.
En résumé, la ramification du bogue est que les utilisateurs peuvent saisir des transactions sur des actifs sans solde existant. En basculant manuellement le compte source d’une demande d’API vers un autre avec certaines crypto-monnaies, un utilisateur peut réserver des commandes pour des crypto-monnaies de plus grande valeur tout en utilisant des crypto-monnaies de moindre valeur.
La réponse de Coinbase
Craignant que la fuite ne se retrouve entre de mauvaises mains, le pirate informatique a rapidement contacté l’équipe d’intervention de Coinbase. Tree of Alpha a été référé par les utilisateurs de Twitter pour déposer un rapport de vulnérabilité via le programme de primes de bogues de Coinbase sur Hackérone. Cela s’est produit une heure avant que le chercheur Tree of Alpha ne réussisse à avoir l’attention du PDG Brian Amstrong.
.@Tree_of_Alpha vous êtes génial – un grand merci de travailler avec notre équipe
J’adore la façon dont la communauté crypto s’entraide !
– Brian Armstrong – barmstrong.eth (@brian_armstrong) 11 février 2022
L’équipe d’intervention de sécurité de Coinbase a traité la plainte du pirate quelques minutes après le rapport. L’équipe a ensuite effectué des vérifications sur d’autres interfaces utilisateur pour voir si certaines étaient affectées. Coinbase a déclaré n’avoir trouvé aucune autre incohérence.
Selon Coinbase, si un attaquant malveillant s’était emparé du bogue avant son correctif, les dommages auraient été limités.
Il y avait des facteurs atténuants qui auraient limité l’impact de cette faille si elle avait été exploitée à grande échelle », lit Rapport Coinbase.
La bourse prétend que des mesures telles que des disjoncteurs automatiques de protection des prix et une équipe de surveillance qui supervise les activités commerciales anormales auraient réduit les dommages.
Tree of Alpha a reçu une prime de 250 000 $, dans ce qui est le plus gros paiement de prime de Coinbase à ce jour.
