Cientos de millones de monedas Ethereum quedan congeladas por una vulnerabilidad en Parity

Una falla de código en la billetera virtual Parity ha hecho posible que un hacker congele los fondos de docenas de billeteras que guardaban más de 300 millones de Ether, la moneda criptográfica de la plataforma de dinero virtual Ethereum.

La vulnerabilidad afecta a todas las billeteras Parity creadas después del 20 de julio con la funcionalidad de firmas múltiples. Esta es una función de seguridad que exige el consentimiento de varios usuarios para realizar transacciones, lo que la hizo popular como forma de administración segura en compañías.

Parity no terminaba de reponerse de una vulnerabilidad similar que afectó a sus usuarios en julio cuando fue atacada por este segundo golpe. En julio, hackers explotaron una vulnerabilidad en la billetera para robar alrededor de 150 millones de Ethers, que en aquel entonces tenían un valor de 30 millones de dólares. Esa vulnerabilidad se parchó el 19 de julio, pero al día siguiente los hackers comenzaron a explotar la vulnerabilidad que se acaba de descubrir. De hecho, el problema actual estaba presente mientras se resolvía la falla de julio, pero se lo había pasado por alto.

La vulnerabilidad en Parity fue descubierta en uno de los servidores más grandes de Ethereum y denunciada a GitHub por un usuario con el seudónimo “devopps199”. El hacker dijo que no tenía mucha experiencia y que solo estaba siguiendo la lógica de la falla de julio cuando descubrió la vulnerabilidad.

Parity explicó que descubrió la raíz del problema analizando el caso de uno de sus usuarios que había perdido todo el contenido de su billetera. “El problema consiste en que un atacante puede convertir el contrato de biblioteca de Parity Wallet en una billetera de firmas múltiples convencional y volverse su dueño con la función initWallet. Parece que el problema se activó por error el 6 de noviembre de 2017 a las 02:33:47 PM +UTC y un usuario eliminó el código de la biblioteca convertida en billetera, lo que inhabilitó todos los contratos de firmas múltiples porque su lógica (cualquier función para modificar su estado) se encontraba dentro de la biblioteca”, explicó Parity.

Todavía no hay nada que indique que las monedas han sido robadas o se han perdido de forma irreparable, pero no hay ninguna certeza de que esto no vaya a ocurrir. Esta incertidumbre ha hecho caer el valor del Ether de 305 a 291 US$, el valor más bajo que ha tenido esta moneda en dos semanas. Lo que pase con esta moneda durante los próximos días y semanas dependerá en gran parte de los resultados de este incidente.

“Les pedimos que tengan paciencia hasta que se haya identificado el problema en su totalidad. Los tendremos al tanto de cualquier indicación y recomendación necesaria”, dijo un portavoz de Parity. “Recomendamos a los usuarios que no abran más billeteras de firmas múltiples hasta que se haya resuelto este asunto ni que envíen Ethers a billeteras que ya estén en uso”.

Fuentes:
Someone ‘Accidentally’ Locked Away $300M Worth of Other People’s Ethereum Funds Motherboard

TechCrunch

CoinDesk Security

Publicaciones relacionadas

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *