Os hackers são parte importante do criptomercado e de toda a indústria ligada a computadores e sistema, muitas vezes encontrando defeitos que poderiam acabar com empresas. Recentemente um hacker, conhecido como “Tree of Alpha” ganhou uma recompensa por encontrar e reportar um bug que poderia prejudicar o mercado de criptomoedas.
O caso foi contado pelo próprio hacker em sua conta do Twitter, onde ele falou sobre como conseguiu a “maior recompensa por bug da história”. Tree of Alpha recebeu um total de US$ 250 mil, cerca de R$ 1,2 milhão.
“Como uma falha no novo recurso de Negociação Avançada teria permitido que um usuário mal intencionado pudesse vender BTC ou qualquer outra criptomoeda sem ter elas. E como a rápida reação da Coinbase evitou uma possível crise.”
Coinbase's "largest-ever bug bounty"
How a flaw in the new Advanced Trading feature would have allowed a malicious user to sell BTC or any other coin without owning them, and how Coinbase's reaction speed on a Super Bowl Friday averted a possible crisis.
Bounty: $250,000 pic.twitter.com/Y91M48pCcI
— Tree of Alpha (@Tree_of_Alpha) February 19, 2022
Tree of Alpha afirmou que estava “fuçando” a nova plataforma de negociação avançada para entender como as ordens eram enviadas e executadas. Ele disse ter feito uma ordem no par ETH/EUR e notou que a API precisava de identificação de produto, fonte e conta destinatária.
Foi ao tentar alterar essas identificações que ele percebeu que algo estava errado e poderia ser algo potencialmente perigoso.
“Para conseguir uma mensagem de erro eu troquei a identificação do produto para BTC-USD, mas não mudou a identificação das contas (a fonte é minha carteira de ETH, a conta destinatária minha carteira de EUR). Eu estava esperando um erro, já que minha conta não tem permissão para negociar no par BTC-USD, mas… a ordem deu certo.” relatou Tree of Alpha no Twitter.
Ou seja, ele poderia trocar essas identificações para vender em um livro de ordem onde ele não possui as moedas. Ele chegou a testar com 0.0243 ETH para vender 0.243 BTC, trocando essas informações na ordem.
“Eu estava esperando que isso era um bug visual. Eu verifiquei as ordens elas correspondem à API: Essas negociações realmente foram executadas.”
Em teoria, ele poderia usar esse bug para conseguir criar ordens em moedas que ele não tinha em suas carteiras. Ele chegou até mesmo a realizar um segundo experimento, dessa vez usando a criptomoeda SHIB.
Ele enviou 9 milhões de SHIB para sua conta na Coinbase e, da mesma forma, trocou as informações da ordem para criar uma de venda de 50 bitcoin usando apenas 50 SHIB. Ele chegou a perguntar para pessoas próximas se eles conseguiam ver a ordem de compra, e ela realmente existia.
“Honestamente não existem coisas tão sérias e aterrorizantes quanto perceber que:
-Você acabou de colocar uma ordem de venda de 50 BTC usando 50 SHIB.
-Todo mundo pode ver isso.”
Logo depois de descobrir o erro ele entrou em contato com a equipe de segurança da Coinbase. Rapidamente o Bug foi consertado e eles ofereceram um pagamento de US$ 250 mil pelo trabalho do hacker.
Caso um hacker malicioso tivesse acesso a esse defeito, ele poderia ter causado um estrago monstruoso no criptomercado, roubando milhões na Coinbase, confundindo cálculos de liquidez e possivelmente causando um efeito cascata destruidor.
Felizmente Tree of Alpha não estava interessado em roubar.