Topic: Coinbase API – peligroso error detectado por un hacker ético (Read 121 times)

Personalmente yo puedo ver a una persona o pequeño negocio hacer uso de APIS como alternativa para poder negociar criptodivisas de forma cómoda.
El verdadero peligro empieza debido a dos factores:

1. El hecho de que las APIS implementadas por una plataforma son un solo punto de fallo para el robo de fondos y que cientos (o quizá miles) de negocios de todo tipo estarían alineándose en en el uso de las mismas APIS, mientras más lo hagan mayor sería la recompensa de un hacker que encontrase una vulnerabilidad.

2. El tamaño de las empresas que relegan la custodia o manejo de sus activos a los exchanges. Hace poco vimos la noticia de que Google empezará a aceptar pagos en cripto para un par de sus servicios vinculados en la nube (https://es.cointelegraph.com/news/breaking-google-taps-coinbase-to-bring-crypto-payments-to-cloud-services) .Es como si Google como compañía no tuviese los recursos y el conocimiento necesario para hacer su propia plataforma de pagos para los clientes interesados.  Así pues, Google también estaría exponiéndose de cierta forma a un exploit de APIS (implicando que usen las del exchange el lugar de crear sus propias).

Asumo que en el caso de Google, quiere evitar meterse completamente de lleno debido al FUD que circula y quizá los asuntos legales que tendría que sortear para operar con criptoactivos en Estados Unidos.

Pero si quieres mi predicción personal, es que tarde o temprano Google expandirá aún más su aceptación de Bitcoin y otras alts, por el hecho de que recopilaría información muy valiosa para los departamentos de finanzas e inteligencia de los estados unidos, información que vincularía a los perfiles personales de sus usuarios, obviamente.

El asunto de las APIs da respeto, en tanto en cuanto pueden eregirse en otros vectores de ataque a los Exchanges y los fondos custodiados a través de los mismos. El caso del Exchange Coinbase del OP es un ejemplo, pero hemos visto más casos donde la API ha sido el punto débil por el cual han atacado los hackers.

Hoy estaba leyendo como otro Exchange, Bit2Me, ha creado su propia cripto API para permitir a empresas y bancos acceder a la funcionalidad de un Exchange, sin tener que implementar un Exchange por ellos mismos, incluyendo la posibilidad de operar con hasta 180 criptomonedas distintas, además de servicios de custodio.

Entiendo que comercializar este tipo de APIs será relativamente frecuente entre Exchanges de cierto nivel, y bajo el punto de vista de negocio, tiene todo el sentido del mundo. Eso sí, es un vector de ataque a cuidar muy mucho, tal y como vimos en el OP.

Ver: https://www.bolsamania.com/noticias/criptodivisas/bit2me-abre-criptomonedas-bancos-empresas-nuevo-servicio--10992856.html

Bueno, hay varias posibles razones para que una compañia pública se sienta un poco menos generosa de lo habitual con los que les salvan del cuello...

Por hacer un inciso, pero relacionado con el tema de recompensas de los White Hackers, indicar que este mismo foro tiene su política de recompensas: https://bitcointalk.org/sbounties.php

A buen seguro que el contenido del post ha ido variando con el tiempo, si bien no he localizado un histórico archivado del mismo para ver la evolución de su redactado.

Si he localizado, y como curiosidad, que BTC se consideraba demasiado inestable para el pago de las recompensas en el 2013 (se entiendo que su valor), por lo que se referenciaban en XAU (oro). Para verano 2018, únicamente se habían abonado 11,4 XAUs en este concepto.
Ver: https://bitcointalksearch.org/topic/security-bounties-309785

Volviendo al tema central de manera más genérica, las recompensas por bugs de la índole del detectado en Coinbase deberían ser generosos (no digo que el de este caso no lo fuese, máxime cuando no parece tremendamente sofisticado haberlo descubierto, sino haberlo probado). Errores de esta naturaleza pueden hundir la reputación de un negocio, sino el negocio en si en el peor de los escenarios.

Dinero limpio > Dinero sucio.

CReo que quizá, Coinbase no pudo ignorar lo brave de ese exploit, no solo para su empresa, sino támbien para todo el mercado criptográfico.
Pudo pasar algo mucho más grave que el robo de fondos, a los ojos de Coinbase, pudieron perder dinero el bolsa, credibilidad, etc. Todo mientras propiciaban un día especialmente rojo en el mercado.

Me agrada la respuesta de Coinbase, recuerdo haber visto alguna vez un documental acerca de los hackers y se mostraba ambos mundos, el mundo de los hackers de sobrero negro y el de los de sombrero blanco.

Y una de las quejas que tenían los hackers de sombrero blanco eran lo bajas que podían ser las recompensas que recibían, si es que recibían algo a cambio de sus servicios, lo cual significaba que muchas fallas en los sistemas nunca eran analizadas y descubiertas por ellos, lo cual permitía a los hackers de sombrero negro tomar ventaja de estas vulnerabilidades.

Afortunadamente Coinbase se dio cuenta de lo grave de esta vulnerabilidad y recompensó de manera amplia a este hacker, lo cual probablemente lleve a otros a intentar encontrar otras vulnerabilidades y hacerse de una jugosa recompensa.

En la explicación del caso reportado, citan dos pruebas que hizo el usuario, ambas de venta, donde la persona en cuestión logró vender lo que tenía. Tengo curiosidad por saber si probó el caso inverso, que sería comprar, pudiendo modificar los parámetros de la consulta de manera que llegase a realizar compras a coste irrisuo, y luego mover esos BTCs a una wallet externa. No narra nada acerca de esta posibilidad en sus pesquisas, por lo que probablemente no fuese factible.

Recuerdas el tipo de los 1000 de aquì que hubo algarabía, bueno, si hacer lo normal no tiene porque ser extraño, creo que hizo lo normal, no lo correcto   

La recompensa, no se complicaron mucho, fue màs o menos lo que intento cambiar, es justo.

Fue un hacker blanco, dicen. Aunque ético con $250,000 en el bolsillo, bueno centralizado, es màs elegante.

Noticias como esa aveces me hacen cuestionar la necesidad de la existencia de exchanges masivos y centralizados como parte del ecosistema.

Aunque los medios se hacen eco ahora, el pasado 11/02/2022, @Tree_of_Alpha (Twitter) intentaba contactar con Coinbase para reportar un error grave. Un error que, en sus palabras, podría nukear (ya puestos a usar el término) el mercado.

El citado usuario había descubierto en una API comercial de Coinbase, que podía modificar los parámetros de las llamadas, y cambiar el tipo de monedas de una venta de monedas, de manera que logró cambiar 50 Shiba por 50 BTCs en la orden de venta. Su cuenta tenía los Shiba, pero cambió los parámetros de la llamada y lanzó una venta de 50 BTCs, que para colmo no tenía. La venta se llevó a cabo como si nada, a razón de 38.440$ por Shiba BTC.

El error fue subsanado con prontitud, y el hacker ético fue recompensado con 250K$, pero el riesgo potencial era notorio: No sólo podría haberse enriquecido personalmente (aunque con el KYC, no es sencillo luego escapar), sino que podría haber provocado variaciones del precio en el mercado, y haberse lucrado en otros Exchanges en previsión del terremoto que podría ocasionar en el mercado y su dirección.