Se detecta vulnerabilidad en Coinbase que permitía «sustraer» Ethereum

wallet ethereum
Tabla de Contenidos

Durante las pasadas navidades la empresa VI/Company detectó una vulnerabilidad en la plataforma de Coinbase que afectaba a los wallets de Ethereum, dicho error fue comunicado a la plataforma de compra venta de criptomonedas, la cual ha recompensado con 10.000 $ a VI/Company.

El error de seguridad en cuestión procedía al ejecutar un contrato inteligente en la red principal de ethereum blockchain y se descubrió cuando el equipo de VI/Company estaba haciendo pruebas en dicha red y observaron que al hacer varios envíos de Ethereum a diferentes wallets estas encontraban un error que invalidaba la transacción y devolvían los ethereum. (como es normal)

Casualmente uno de los trabajadores de esta compañía y al que se le había hecho uno de los envíos fallidos en Ethereum, detecto que aunque de acuerdo a la red de Ethereum dicha transacción se había invalidado por el error a el le había llegado la transacción de Ethereum.

Desde la compañía decidieron seguir investigando y haciendo pruebas hasta que verificaron que cada vez que hacían esta operación en un wallet de Coinbase, podían enviar Ethereum, aprovecharse del error que devolvía la transacción a la wallet original y además recibirlo en la wallet de Coinbase.

¿Cómo avisar a Coinbase de un error?

error wallet ethereum en coinbase

El equipo de VI/Company tuvo dudas a la hora de afrontar la forma comunicar a Coinbase sobre el hallazgo de su vulnerabilidad y decidieron hacerlo a través de HackerOne, una plataforma de coordinación de vulnerabilidades y recompensas que conecta negocios con investigadores de ciberseguridad.

A través de esta plataforma VI/Company y Coinbase se pusieron en contacto y comenzaron a trabajar juntos para solventar dicho problema, una vez corregido, Coinbase llegó a un acuerdo con VI/Company para que no se divulgase el hallazgo de la vulnerabilidad hasta pasado el día 21 de Marzo.

Las empresas que están registradas en HackerOne, tiene la posibilidad de recompensar económicamente a los que detectan fallos en su seguridad y les informan para solucionarlo, y es por ello que recompensaron a VI/Company con 10.000 dólares por la vulnerabilidad que les ayudaron a encontrar y corregir.

Desde la web de HackerOne y una vez corregido el bug, se ha dado una pequeña guía de lo que habría que hacer para aprovecharse de dicho error.

Pasos a seguir:

  • Configure un contrato inteligente con unos monederos válidos y un último monedero Coinbase defectuoso.
  • Transfiera los fondos apropiados al contrato inteligente.
  • Ejecute un contrato inteligente agregando la cantidad establecida de Ethereum a los monederos de Coinbase sin abandonar el monedero del contrato inteligente porque la transacción completa falla en el último monedero.
  • Repita hasta que tenga suficiente Ethereum en su billetera Coinbase.
  • Transfiera a otra billetera y retire.

RELATED POSTS

Síguenos en Redes

Cripto Tutoriales

Cripto Reviews

Ads