Por Hannah Pérez  


Este fallo permitía los validadores malintencionados extraer sus fondos dispuestos a modo de garantía, antes que fuesen tomados por la red al momento de detectar su participación en prácticas que comprometan el buen funcionamiento del ecosistema.

***

Los desarrolladores de Cosmos publicaron un informe completo de “vulnerabilidad de seguridad crítica” registrado mes pasado.

Conocida como “La Internet de Blockchains”, Cosmos es una plataforma basada en tecnología DLT que facilita la comunicación y las transacciones entre redes Blockchain separadas.

La vulnerabilidad encontrada en la base de código de Cosmos habría permitido a los atacantes eludir varias sanciones por mala conducta en la red Blockchain. Zaki Manian, el Director de Tendermint Inc, la empresa responsable del desarrollo inicial de la plataforma Cosmos, comentó al respecto del problema crítico en el software de la red:

La clave es que queremos hacer que sea realmente difícil comportarse mal en la red y luego deshacerse de sus tokens inmediatamente y escapar de las consecuencias de ese mal comportamiento […]como votar por algo malo en la gobernanza [o] cosas más complejas…“.

Validadores podían desimplicarse

El protocolo de gobernanza descentralizado y basado en la prueba de participación (PoS) de Cosmos impide o desalienta a los validadores de transacciones a votar al azar o aprobar transacciones ilegítimas. Además los validadores, también conocidos como productores de bloques (BPs), corren el riesgo de perder sus tokens ATOM si deciden involucrarse en un comportamiento deshonesto.

Para prevenir el mal comportamiento en la red Blockchain de Cosmos, sus desarrolladores establecieron un período de espera mínimo de 21 días. Esto implica que los validadores no pueden deshacerse sus tokens ATOM antes de este período de tiempo. Esto permite que el sistema de gestión integrado de la red determine adecuadamente si los BPs se están comportando adecuadamente.

Según el informe publicado por Tendermint, la vulnerabilidad del software encontrada en mayo de 2019 habría permitido a los validadores eludir el período de espera requerido antes de que pudieran desbloquear sus tokens ATOM. Además, el informe reveló que el error del software habría permitido a los BP saltarse la fase de “desvinculación” y “hacer que sus fondos se volvieran inmediatamente líquidos, esencialmente, desvinculados“.

El informe de auditoría de software de Tendermint, indicó:

“Dentro de las primeras 24 horas tras [descubrir] el fallo…nuestras herramientas detectaron alrededor de 22 eventos en total“.

En particular, la red principal de Cosmos se puso en marcha en marzo de 2019, después de un extenso periodo de pruebas. Los fundadores del proyecto Cosmos lograron recaudar USD $16 millones a través de una oferta inicial de monedas (ICO) que tuvo lugar en 2017.

Vulnerabilidad encontrada en “Staking Module

La vulnerabilidad descrita por el equipo de Tendermint fue descubierta en el “módulo de replanteo” del Cosmos Software Development Kit (SDK). El SDK de la plataforma de interoperabilidad Blockchain se introdujo por primera vez en 2018, y fue catalogado como un conjunto de herramientas de desarrollo Blockchain de última generación.

Jessy Irwin, jefe de seguridad de Tendermint, informó que aunque el informe de divulgación de errores de software puede ser la primera vulnerabilidad importante que haya afectado a la Blockchain de Cosmos, “no es el primer error que se nos ha informado“.

Irwin añadió:

Hemos pasado por siete auditorías de seguridad y hemos tenido múltiples problemas planteados. Luego también hemos tenido un programa de recompensas de errores bastante activo. Hemos invertido bastante en el último año y medio desde que me uní al equipo para crear un entorno en el que la gente informe de los errores en lugar de no hacer nada al respecto“.

Aunque la vulnerabilidad crítica ya se ha resuelto en la red principal de Cosmos, requería que los BPs llevaran a cabo una hard fork de emergencia (actualización incompatible con las versiones previas). Este cambio tuvo lugar en el bloque número 482.100, programado para el 31 de mayo de 2019.

Fuente: CryptoGlobe

Traducción de Hannah Estefanía Pérez / DiarioBitcoin

Imagen principal extraída de Pixabay

ADVERTENCIA: Este es un artículo de carácter informativo. DiarioBitcoin es un medio de comunicación, no promociona, respalda ni recomienda ninguna inversión en particular. Vale señalar que las inversiones en criptoactivos no están reguladas en algunos países. Pueden no ser apropiadas para inversores minoristas, pues se podría perder el monto total invertido. Consulte las leyes de su país antes de invertir.