Bug en Monero podría haber permitido robar grandes cantidades de criptomonedas
Los desarrolladores de Monero lanzaron ayer un parche crítico que arregla un bug que podría haber sido utilizado para obtener fondos de los exchange de forma ilegal.
El problema está en como los exchange que incluyen Monero manejan las transacciones entrantes.
El problema salió a la luz después de que un usuario publicara una pregunta teórica en el subreddit de Monero. El usuario preguntó qué pasaría si alguien enviara múltiples transacciones a un "Stealth Address".
La tecnología Stealth Address se originó a partir de la tecnología Cryptonote, pero Bitcoin (por ejemplo, libbitcoin) y sus altcoins también pueden implementar direcciones 'sigilosas". Para Bitcoin y sus altcoins, las direcciones secretas deben ser explícitamente compatibles con las billeteras del remitente y del destinatario, pero dicho soporte está implícito en las carteras Cryptonote.
Un remitente puede indicar a un destinatario que cree una dirección sigilosa usable por única vez. El remitente puede enviar dinero a la dirección de sigilo y esta después manda los fondos a la dirección real del destinatario. En Monero y otras criptomonedas, las direcciones invisibles se usan como proxies de pago, lo que ayuda a los usuarios a obtener una capa adicional de privacidad y anonimato.
¿Cómo encontraron el bug?
En su esfuerzo por tratar de responder la pregunta teórica de un usuario de Reddit, los desarrolladores de Monero se dieron cuenta de que había un defecto inherente en el código de Monero que maneja las direcciones Stealth.
Un atacante podría indicarle a un exchange de criptomonedas que cree una dirección sigilosa y que envíe 1 moneda Monero (XMR) 1000 veces más, para lo cual debería recibir un valor equivalente en otra criptomoneda como parte del proceso de intercambio .
Los desarrolladores de Monero se dieron cuenta de que en situaciones como estas, el exchange que se encontrará ejecutando el código de la red de Monero defectuoso, respondería a todas las 1,000 transacciones con Bitcoin, pero luego validaría solo el primero e invalidaría el resto de los fondos recibidos, como el sigilo dirección habría expirado.
Los atacantes básicamente enviarían 1 Monero al intercambio, pero recibirán Bitcoin por todas las 1000 transacciones.
El número 1,000 se usó como un ejemplo. Un atacante podría haber repetido este proceso muchas veces, robando cantidades masivas de fondos de intercambios.
Este bug si fuera descubierto por un atacante podría haber permitido a un atacante robar cantidades masivas de criptomonedas de exchange en cuestión de segundos.
Bug ya solucionado en la actualización de ayer
Este peligroso bug se solucionó el día de ayer con el lanzamiento de la versión v0.12.3.0 del código de Monero.
"El error básicamente implica que la billetera no proporciona una advertencia cuando recibe un solicitud de quemado", dijeron los desarrolladores de Monero.
Bitcoin también tuvo problemas de seguridad la semana pasada
Los desarrolladores de Monero no fueron los únicos que tuvieron que luchar para solucionar un problema serio de seguridad.
La semana pasada, el equipo de Bitcoin solucionó un error similarmente peligroso que habría permitido a los atacantes bloquear los nodos de Bitcoin y realizar un 51% de ataques en toda la red para aprobar transacciones no válidas y robar fondos de propietarios legítimos.
Más Información: Github Monero