Los desarrolladores de Monero, el criptoactivo centrado en la privacidad, han corregido un error que habría permitido a un atacante causar un daño significativo a los intercambios de criptomonedas y a los comerciantes que simpatizan con el XMR.
Dirigido a través de un parche de software distribuido de forma privada a los intercambios y al comerciante y luego divulgado públicamente mediante una autopsia en el sitio web del proyecto, el error habría permitido que el usuario “quemara” XMR deliberadamente enviando múltiples pagos a la misma dirección de manera sigilosa.
Si bien el destinatario habría podido gastar una salida (la billetera automáticamente utiliza primero la mayor cantidad de ingresos), los fondos enviados a través de transacciones posteriores se habrían vuelto irrecuperables, ya que estas transacciones habrían resultado en imágenes clave duplicadas que habrían sido rechazadas por la red como presuntos ataques de doble gasto.
Un atacante determinado podría haber explotado este error mediante el envío de una serie de pagos a una sola dirección anónima perteneciente a un intercambio de criptomonedas o comerciante. Específicamente, el error se encontró en el software del monedero de Monero, que no detectó esta anormalidad en particular.
En consecuencia, la billetera receptora no habría marcado estas transacciones como problemáticas y habría acreditado el depósito o marcado la factura como pagada.
En el caso de que se explote esta falla contra un intercambio, el pirata informático habría podido cambiar el depósito completo por otras criptomonedas y retirarlas a una billetera externa.
Sin embargo, cuando el operador en turno intente incluir los fondos depositados en una transacción futura, solo habría podido gastar la mayor salida. Y aunque el atacante no habría recibido un beneficio material directo, podrían haber perdido, por el precio de las tarifas de transacciones de red, el intercambio y, por extensión, los comerciantes que tienen fondos en la plataforma, perder una cantidad masiva de fondos.
Si se despliega en una escala lo suficientemente grande, la falla podría haber beneficiado indirectamente al atacante reduciendo el suministro de Monero en circulación, es decir, la cantidad de XMR gastable, aumentando teóricamente el valor de cada moneda en relación con el límite de mercado de la misma.
En particular, la estructura básica del exploit se conoce desde hace bastante tiempo. Sin embargo, fue sólo recientemente que, impulsados por una discusión en el apartado de XMR en Reddit, los desarrolladores identificaron que el error podría ser explotado significativamente en detrimento de los intercambios de criptomonedas, comerciantes y otras organizaciones.
Se necesita más revisión de código en el ecosistema de criptomonedas
Al reflexionar sobre el proceso utilizado para divulgar el error y hacer circular el parche en privado a las organizaciones vulnerables, el moderador de la comunidad dEBRUYNE reconoció que los métodos utilizados no eran ideales, pero señaló que la comunidad aún no implementó un mejor protocolo de informe de vulnerabilidad.
Un extracto de la publicación reza:
“Yo notifiqué privadamente el mayor número posible de intercambios, servicios y comerciantes con el parche (privado) que debía aplicarse sobre la rama de publicación v0.12.3.0. Claramente este no es el método preferido, ya que excluye invariablemente organizaciones con las que yo personalmente no tengo contacto, pero que son una parte esencial del ecosistema de Monero y puede invocar una visión de trato preferencial. Sin embargo, solo hubo un tiempo limitado para mejorar el proceso del informe de vulnerabilidad”.
Más tarde en la publicación, dEBRUYNE pidió que más desarrolladores participen en la revisión del código XMR para evitar que ocurran incidentes similares en el futuro, y agregó que “este evento es nuevamente un recordatorio eficaz de que la criptomoneda y el software correspondiente aún están en su infancia y por lo tanto es bastante propenso a errores (críticos)”.
Ni siquiera Bitcoin está exento de esto, hace meses se dio a conocer de una falla en el protocolo Bitcoin que hubiera permitido a los mineros inflar de manera artificial el suministro de monedas.
Fuente: CCN
