Por Angel Di Matteo   @shadowargel


La vulnerabilidad en las transacciones Bitcoin hacen creer a la víctima que recibió los fondos cuando la transacción fue anulada por el atacante.

***

Una investigación recientemente publicada por el equipo de ZenGo puso en evidencia una vulnerabilidad presente en el mecanismo empleado por muchos monederos a la hora de enviar Bitcoin, la cual podrían aprovechar atacantes para generar un doble gasto en los propietarios de los fondos.

De acuerdo con información publicada por varios medios digitales, dicha vulnerabilidad estuvo presentes en al menos tres billeteras utilizadas por gran cantidad de usuarios en todo el mundo, entre las que destacan Ledge Live, Edge, Breadwallet (BRD) y posiblemente muchas otras más.

Vulnerabilidad presente en los monederos Bitcoin

Entre los detalles asociados con la vulnerabilidad denominada BigSpender, los investigadores detallan que un hacker podría hacer que un usuario incurra en el doble gasto de sus fondos, incluso evitando que el propietario pueda utilizar su billetera. Esto se logra aprovechando una falla en la función de reemplazo por tarifa manejada por Bitcoin, prueba que emplean los monederos para intercambiar una transacción no confirmada.

Al respecto, el CEO de ZenGo, Ouriel Ohayon, comentó:

BigSpender puede provocar pérdidas financieras sustanciales, y en algunos casos, hacer que la billetera de la víctima sea totalmente inutilizable sin que la víctima pueda protegerse. Esto podría considerarse como un ataque de alta gravedad.

Para el equipo de ZenGo, esta vulnerabilidad resulta crítica en comparación con otras presentes en el código central de Bitcoin, ya que dicha función comprometida actualmente figura como un estandar para que los usuarios puedan enviar fondos entre monederos. Dicha modalidad se volvió muy popular justamente porque abordaba los problemas presentes en cuanto a los tiempos de confirmación y las elevadas tarifas por comisión.

Problemas de doble gasto

Sobre esta vulnerabilidad, el desarrollador de Bitcoin, Peter Todd, explica:

“Para aprovechar la vulnerabilidad RBF, los atacantes envían sus fondos a la víctima y establecen tarifas suficientemente bajas como para que la transacción no reciba confirmaciones.

Mientras la operación está pendiente, el atacante la cancela y para las billeteras vulnerables quedará el incremento en los fondos globales como si la transferencia hubiese sido exitosa. Esto lleve a algunas víctimas a creer erroneamente que los fondos llegaron”.

Al respecto, uno de los investigadores destacó:

“Con este estudio, ZenGo nos demuestra que es posible engañar a un usuario para que piense que está recibiendo Bitcoin cuando en realidad no tendrá los fondos. Creo que esto es algo novedoso, ya que al menos yo no he oído hablar de nada parecido antes”.

La discrepancia entre los fondos reflejados y la cantidad real sería un punto de entrada para hackers, quienes podrían engañar a las personas para que proporciones bienes o servicios sin realizar el pago respectivo.

A razón de los resultados reportados, Ledger y Breadwallet ya publicaron cambios en sus códigos para evitar ataques de este tipo, mientras que Edge está probando otro tipo de soluciones para dar respuesta a esta problemática. Sin embargo, los investigadores no descartan que otras empresas productoras de sus propios monederos también sean vulnerables a esta falla, por lo que invita a los equipos de desarrollo a realizar las revisiones correspondientes.

Precaución y medidas de seguridad

Aunque esto podría representar un riesgo para los usuarios que hagan uso de esta propiedad, los desarrolladores e investigadores insisten en que esta modalidad de ataque no rompe de ninguna manera el funcionamiento del código de Bitcoin, por lo que invitan a las personas a estar muy atentas para evitar caer víctimas de este tipo de vulnerabilidad.

Uno de los investigadores detalla que una regla general adoptada por el grueso de la comunidad es solo confiar en transacciones una vez que estas tengan al menos seis confirmaciones, por lo que invita a las personas a no tomar ninguna medida hasta que este principio se cumpla. De lo contrario, parte de la responsabilidad por la cancelación de la operación y la pérdida de los fondos ya recae sobre la víctima.

Sin embargo, el equipo de ZenGo hace un llamado de atención porque esta vulnerabilidad pordía prestarse para inhabilitar permanentemente una billetera, ya que una vez que el atacante infla constantemente los fondos pertenecientes a la víctima, el desacople entre las cifras reportadas podría inutilizar el software replicando un ataque de denegación de servicio (DoS).

Al respecto, Ohayon comentó: “Esto también desactiva otras operaciones si el algoritmo de selección de monedas empleado por la billetera elige fondos inexistentes para esta transacción en curso. Esos monederos estarán bloqueados y supondría un gran inconveniente para los usuarios”.


Lecturas recomendadas


Fuente: CoinDesk / Decrypt / TheBlockCrypto / CryptoGlobe

Versión de Angel Di Matteo / DiarioBitcoin

Imagen de Ben White en Unsplash