Coinbase Bug permite a los usuarios financiar carteras con ETH

0
56

La empresa holandesa VI Company, fue instrumental en la identificación de una hazaña de Coinbase que era – hasta hoy – en gran medida desconocida.

Revelado a través de la plataforma de seguimiento y coordinación de vulnerabilidades HackerOne.

Continúa el desplazamiento de la Compañía VI:

Si una de las transacciones internas del contrato inteligente falla, se anularán todas las transacciones anteriores. Pero en Coinbase estas transacciones no se revertirán, lo que significa que alguien podría añadir tanto EtH a su saldo como quiera.

El carácter sensible de esta hazaña, descubierta el pasado mes de diciembre, fue manejada con profesionalidad. En lugar de causar pánico al hacerlo público, los investigadores con sede en Rotterdam contactaron al equipo de seguridad de Coinbase en privado el 27 de diciembre de 2017.

Descubriendo el Bug

Mientras realizaba pruebas en la red principal de la cadena de bloques Ethereum para un proyecto no relacionado durante las vacaciones de invierno, el equipo de la VI Compañía descubrió inadvertidamente la vulnerabilidad. El programador e investigador Jesse Lakerveld describió el descubrimiento del exploit:

Durante esta, tuvimos algunas billeteras que nos devolvieron un error cuando intentamos enviar Ethereum allí. Esto, a su vez, detuvo la ejecución del contrato inteligente . Pero de acuerdo a su billetera de Coinbase, sí la recibió.

Incapaz de sacudir lo que había visto, Lakerveld -ahora con la ayuda de dos de sus colegas- se dispuso a reproducir el error. Después de algunas pruebas a pequeña escala con un contrato inteligente diferente, la transacción se estrelló cuando Ethereum fue enviado allí. Y he aquí que podríamos reproducir de manera confiable este error y añadir Ethereum a nuestras carteras de Coinbase sin enviar ninguno.

Revelar el error

Una vez que el equipo se dio cuenta de la magnitud del error que habían descubierto, se enfrentaron al problema de cómo informar a Coinbase. Puedes imaginarte que algunas compañías podrían no estar muy contentas si publicas cosas como esta en público, continuó Lakerveld.

Después de alertar a Coinbase a través de HackerOne en diciembre pasado, Lakerveld pasó las siguientes semanas trabajando con el equipo de seguridad de Coinbase para probar y reparar la vulnerabilidad. Aproximadamente un mes después, el exploit había sido corregido en lo que Coinbase describe como un cambio en la lógica de manejo del contrato. El 25 de enero de 2018, Coinbase recompensó a VI Company con una recompensa de $10,000 por su trabajo en el descubrimiento del virus.

Una vez resuelto el problema, se solicitó a la VI Compañía que no hiciera pública la información sobre la explotación hasta hoy, 23 de marzo de 2018, por razones aún desconocidas. Por lo tanto, los investigadores también ayudaron a preservar el capital de reputación de Coinbase.

Había cubierto previamente problemas en Coinbase durante diciembre del año pasado que podrían haber contribuido a la decisión de mantener esta vulnerabilidad particular oculta hasta ahora.

En el oscuro mundo de las hazañas de criptomonedas, este error en particular era tan significativo, que quizás es mejor que la gente no supiera que existía hasta después de haber sido resuelto. Como con tanto ímpetu en el criptoespacio ahora mismo, este es un ejemplo de cómo contract security se está volviendo cada vez más importante.

Comentarios Facebook

Dejar respuesta

Please enter your comment!
Please enter your name here

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.