Na última sexta-feira (11), um white hat hacker conhecido pelo apelido Tree of Alpha postou uma mensagem alarmante em seu Twitter. Na ocasião ele tenta um contato com algum funcionário da Coinbase, maior exchange de Bitcoin dos EUA, para alertá-los sobre um erro que teria “potencial para destruir o mercado”.
“Alguém aqui pode me conseguir uma linha direta com alguém da @coinbase, de preferência da equipe de desenvolvimento ou gerenciamento, possivelmente o próprio @brian_armstrong (CEO da empresa)?
Estou enviando um relatório de hacker1, mas temo que isso não possa esperar. Também não posso dizer mais, isso é tem potencial para destruir o mercado.”
Anyone here can get me a direct line with someone at @coinbase , preferably management or dev team, possibly @brian_armstrong himself?
I'm submitting a hacker1 report but I'm afraid this can't wait. Can't say more either, this is potentially market-nuking.
DMs open.
— Tree of Alpha (@Tree_of_Alpha) February 11, 2022
Devido ao tamanho de seu desespero, em menos de uma hora o hacker comunicou que conseguiu contato com a exchange que, por sua parte, logo suspendeu todas as negociações de sua plataforma chamada Advanced Trading. Ou seja, a ameaça era real.
Embora ainda não tenha revelado qual foi a falha encontrada, Tree of Alpha voltou ao Twitter na manhã seguinte de seu relato para afirmar que publicará um relatório completo em breve. Além disso, notou que a Coinbase retornou as operações na sua plataforma e que a falha foi corrigida pelos mesmos.
Novamente em tom alarmante, o hacker afirma que a rápida resposta da empresa foi fundamental para evitar um sério desastre tanto para a Coinbase, listada na bolsa, quanto ao mercado de criptomoedas.
“O Advanced Trading voltou a funcionar e verifiquei que o exploit foi corrigido conforme recomendado.
Tópico completo sobre a vulnerabilidade e como a resposta rápida da Coinbase evitou alguns danos sérios à empresa e ao mercado assim que me for permitido (espero que na próxima semana).”
Advanced Trading is resumed, and I have verified that the exploit has been patched as recommended.
Full thread on the vuln and how Coinbase's swift response avoided some serious company & market damage as soon as I'm allowed (hopefully next week).
Good weekend to all. pic.twitter.com/pguInKORwW
— Tree of Alpha (@Tree_of_Alpha) February 12, 2022
Embora seja comum que empresas paguem recompensas pelo encontro de tais falhas, Tree of Alpha afirma que não recebeu nada e que não fez isso por dinheiro, notando que já tem de sobra.
Por fim, Brian Armstrong, CEO da Coinbase, fez questão de elogiar a atitude do hacker que, presumidamente, salvou a sua empresa de perder muito dinheiro.
“@Tree_of_Alpha você é incrível – muito obrigado por trabalhar com nossa equipe
adoro como a cripto-comunidade ajuda uns aos outros!”
.@Tree_of_Alpha you're awesome – a big thank you for working with our team
love how the crypto community helps each other out!
— Brian Armstrong (@brian_armstrong) February 11, 2022
Final de semana complicado para todos
Além da Coinbase, a Optimism, uma solução de segunda camada do Ethereum, também contou com a ajuda de um hacker, desta vez um grey hat — como prefere ser chamado — nestes últimos dias.
“Na semana passada, descobri (e relatei) um bug crítico (que foi totalmente corrigido) na @optimismPBC (uma solução de escalonamento de segunda camada para o Ethereum) que permitiria que um invasor imprimisse uma quantidade arbitrária de tokens, pelo qual ganhei uma recompensa de $ 2.000.042.”
Last week, I discovered (and reported) a critical bug (which has been fully patched) in @optimismPBC (a "layer 2 scaling solution" for Ethereum) that would have allowed an attacker to print arbitrary quantity of tokens, for which I won a $2,000,042 bounty. https://t.co/J6KOlU8aSW
— Jay Freeman (saurik) (@saurik) February 10, 2022
Segundo informações detalhadas do próprio hacker, chamado Jay Freeman, ele encontrou um problema de segurança crítico na Optimism que permitia a impressão ilimitada de “ETH”, ou seja, Ethereum em forma de token que deviam ter lastro em ETH.
Desta forma, tais tokens poderiam ter sido usados maliciosamente para ganhar dinheiro de várias formas, como comprando outros tokens disponíveis para negociação em exchanges descentralizadas.
Devido ao tamanho da falha, Freeman ganhou 2,1 milhões de dólares (R$ 11 mi), sendo 2 milhões pagos pela Optimism e 100 mil pela Boba Network. Desta forma, dois hackers salvaram duas empresas, e talvez boa parte do mercado, nestes últimos dias.