Una vulnerabilidad recientemente descubierta en el token GasToken, que se ejecuta en la cadena de bloques Ethereum, podría permitir a los piratas informáticos retirar fondos de las carteras de almacenamiento en caliente de Exchange, o incluso falsificar tokens con fines de lucro.
Según un estudio publicado recientemente, esta vulnerabilidad afecta principalmente a los intercambiadores que no han establecido un límite de retiro. El estudio explica:
El escenario de ataque más primitivo es que Vasya tiene un intercambiador que Petya quiere piratear. Petya puede solicitar una transferencia de fondos desde su billetera a una dirección de contrato que él controle. Si Vasya no estableció un límite razonable para ETH, pagará una tarifa de transacción desde su billetera activa. Habiendo realizado una cantidad suficiente de transacciones, Petya puede vaciar la billetera de Vasya.
Si el intercambiador no utiliza la tecnología KYC, un hacker puede eludir el límite de retiro. Un atacante más hábil podría incluso imponer un "impuesto" a las transacciones y crear su propio token con fines de lucro.
Cabe destacar que la vulnerabilidad solo afecta a quienes inician transacciones de Ethereum, y no a quienes las procesan. Por lo tanto, los intercambios de criptomonedas descentralizados como ForkDelta y otros intercambiadores que trabajan con contratos inteligentes que procesan transacciones iniciadas por el usuario no se verán afectados por el error.
Actualmente se desconoce cuántos intercambiadores se ven afectados. Según los investigadores que descubrieron la vulnerabilidad, se pusieron en contacto con cada intercambio potencialmente afectado antes de publicar la información.
Se recomendó a los intercambios que establecieran un "límite de gas razonable" durante los retiros. Los investigadores también aconsejaron a las plataformas potencialmente afectadas que revisaran sus registros, ya que los atacantes podrían haber descubierto esta vulnerabilidad hace mucho tiempo.
El documento señala que otras cadenas de bloques, como EthereumClassic y EOS, también pueden verse afectadas por el error.
Este no es el primer error crítico descubierto este año. En marzo de este año, se solucionó un error que permitía a los usuarios de Coinbase acreditarse con una cantidad infinita de Ethereum.
Basado en materiales de www.cryptoglobe.com
Leer también
Lity. Nuevo lenguaje de contrato inteligente
Actualmente hay más de 1.700 aplicaciones descentralizadas (DApps) publicadas en la red Ethereum y su número sigue aumentando. Y aunque todas las Dapps se basan en contratos inteligentes, la confiabilidad de los contratos inteligentes en sí es cuestionable: los ciberdelincuentes ya han ganado más de mil millones de dólares pirateándolos.
Análisis de los pares de criptomonedas BTC/USD, ETH/USD, XRP/USD al 08/08/2018
La renovada presión bajista buscará renovar los mínimos anuales para todos los principales pares de criptomonedas
