Por Angel Di Matteo   @shadowargel

La vulnerabilidad permitiría a un atacante extraer fondos de los contratos de forma continua sin que los usuarios se percaten de la irregularidad. Este error es muy similar al que fue aprovechado por hackers para robar fondos a The DAO en 2016.

***

La nueva actualización para la red de Ethereum, Constantinopla, fue reprogramada luego que programadores descubriesen una vulnerabilidad importante presente en los cambios a implementar

La empresa de auditoría para contratos inteligentes, ChainSecurity, indicó que la propuesta de mejora para la red de Ethereum (EIP)1283, en caso de implementarse, proporcionaría a los atacantes una brecha de seguridad en el código para robar los fondos de los usuarios.

Acuerdo entre los desarrolladores

A razón de lo antes expuesto, tanto los desarrolladores de Ethereum como los de clientes y proyectos activos en la red, acordaron retrasar la actualización por algunas horas, al menos mientras se resuelve el problema señalado.

Entre las personas que estuvieron de acuerdo con esta decisión están el programador principal, Vitalik Buterin; los desarrolladores Hudson Jameson, Nick Johnson y Evan Van Ness; el gerente de Parity, Afri Schoedon; entre otros.

Al analizar las vulnerabilidades presentes, los desarrolladores centrales del proyecto concluyeron que los cambios llevarían demasiado tiempo para cumplir con la fecha originalmente planteada, la cual estaba fijada para el día 17 de enero a las 4:00 am (UTC).

Sobre la brecha de seguridad

La vulnerabilidad reportada por el equipo de ChainSecurity permite a un atacante “reingresar” una misma función varias veces sin que esto implique informar al usuario sobre el estado del proceso en curso.

En una entrevista con el equipo de CoinDesk, el CTO de la firma de seguridad Aberdata, Joanes Espanol, indicó que bajo esta premisa, una persona malintencionada podría estar “retirando fondos de forma perpetua”, y agregó:

Imagine que mi contrato tiene una función que realiza una llamada a otro contrato… si yo soy un hacker y puedo activar esta función por un lapso adicional mientras dicha función aún estaba en ejecución, entonces podría ser capaz de retirar los fondos sin problemas.

Esta vulnerabilidad se parece a la registrada durante el ataque a The DAO en el 2016.

En el reporte presentado por ChainSecurity, la agencia explicó que antes de Constantinopla las operaciones de almacenamiento en la red costarían 5.000 GAS, excediendo los 2.300 que normalmente costarían al momento en el que un contrato habilita operaciones para la transferencia o envío de activos.

Sin embargo, con la nueva actualización, las operaciones de almacenamiento que puedan estar “corruptas” costarían 200 GAS. De esta forma “el contrato de un atacante puede utilizar los excendetes de los 2.300 GAS para manipular variables dentro del contrato, sustrayendo sin problemas los saldos correspondientes”.

Originalmente Constantinopla estaba programada para el año pasado, pero se retrasó a razón de problemas registrados durante su lanzamiento en la red de pruebas Ropsten.

Fuente: CoinDesk

Versión de Angel Di Matteo / DiarioBitcoin

Imagen creada con Canva

ADVERTENCIA: Este es un artículo de carácter informativo. DiarioBitcoin es un medio de comunicación, no promociona, respalda ni recomienda ninguna inversión en particular. Vale señalar que las inversiones en criptoactivos no están reguladas en algunos países. Pueden no ser apropiadas para inversores minoristas, pues se podría perder el monto total invertido. Consulte las leyes de su país antes de invertir.