La empresa de seguridad afirma que ha descubierto un fallo en lo que se considera como la criptomoneda más anónima, el cual, supuestamente, permite a los piratas informáticos robar fondos de muchas carteras Monero.
***
MWR InfoSecurity lanzó un aviso sobre una vulnerabilidad encontrada en las carteras Monero. Los desarrolladores de la moneda han respondido con una dura declaración, catalogando al descubrimiento como “una observación en gran medida inútil“.
La empresa de seguridad afirma que ha descubierto un fallo en lo que se considera como la criptomoneda más anónima, el cual, supuestamente, permite a los piratas informáticos robar fondos de muchas carteras Monero. El equipo de investigación de MWR Labs marcó la vulnerabilidad CSRF como una de alta severidad. En concreto, la firma se refiere a una vulnerabilidad Cross Site Request Forgery en Monero Simplewallet, que supuestamente da a los atacantes el acceso a los fondos de los usuarios.
Críticas
Esta alerta ha tenido cierta resonancia en los medios tradicionales, lo cuales se acercaron con algunos titulares alarmantes sobre la base de las afirmaciones hechas por MWR Labs. Motherboard Vice, por ejemplo, publicó un artículo titulado: “¿Cómo un hacker puede robar Monero, un criptomoneda más anónimo que Bitcoin“, lo cual, por sí mismo, parece algo engañoso.
Para empezar, el equipo de MWR Labs ofreció una visión general excesivamente generalizada e inexacta de la vulnerabilidad, proporcionando ejemplos de plataformas de billeteras Monero que han sido interrumpidas o mal estructuradas. La vulnerabilidad de autenticación RPC y el ataque CSRF se han discutido en varias ocasiones, desde el año 2014, cuando fueron traídas a la luz por Coinspect, de Juliano Rizzo, así que esta vez sin duda no se trata de un “descubrimiento”.
De acuerdo al desarrollador de Monero Core, Riccardo Spagni (fluffypony), la RPC no autenticada es el único camino para que los intercambios y piletas de residuos mineros puedan integrar a Monero, ya que no se ven afectados por el ataque CSRF. Por lo general, esto no debe ser utilizado por los proveedores de servicios de carteras para ejecutar un navegador en segundo plano para integrar Monero. Explicó Spagni:
“Las bibliotecas como MoneroNJS y Monero NodeJS no se pueden catalogar como ‘vulnerables’ a esto, ya que son las bibliotecas que son utilizadas por integradores y no por cualquier software que se ejecuta en una máquina con un navegador“.
En esencia, las demandas de MWR Labs sugieren que la vulnerabilidad que se encuentra dentro del sistema Monero Core afecta negativamente plataformas de billeteras Monero, lo que es una acusación falsa. Si los hackers acceden a ciertas plataformas de billeteras Monero a través de la vulnerabilidad CSRF, la responsabilidad debe ser tomada en su totalidad por el operador de la carpeta que creó un ecosistema inseguro para los usuarios.
La afirmación hecha por el equipo de MWR Labs podría ser comparada con alguien que diga que los sistemas bancarios del mundo son extremadamente vulnerables debido a que un banco experimentó un robo físico después de dejar de una bóveda abierta para que cualquiera pudiese entrar.
En realidad hubo dos carteras activas que permanecieron vulnerables a los ataques CSRF -la billetera de Google Chrome, Bigreddmachine, y lightWallet 2, de jwinterm– y que han recibido un parche rápido para evitar la amenaza. Las dos carteras actualizaron sus plataformas inmediatamente después.
Fuente: CoinFox
Traductor: Robert Hazlitt
ADVERTENCIA: Este es un artículo de carácter informativo. DiarioBitcoin es un medio de comunicación, no promociona, respalda ni recomienda ninguna inversión en particular. Vale señalar que las inversiones en criptoactivos no están reguladas en algunos países. Pueden no ser apropiadas para inversores minoristas, pues se podría perder el monto total invertido. Consulte las leyes de su país antes de invertir.