Tokens de Ethereum valorados en mil millones de dólares son vulnerables a un "ataque de depósito falso"

Según una nueva investigación, a más de mil millones de dólares en tokens de la cadena de bloques Ethereum les falta un estándar de software lanzado en 2017, lo que los deja expuestos a ser secuestrados y drenados de los intercambios comerciales.

La vulnerabilidad del software, denominada explotación de depósito falso, se detectó en 7.772 emisores de tokens ERC-20, segúninvestigaciónde la Universidad de Pekín, la Universidad de Correos y Telecomunicaciones de Pekín, la Universidad de Zhejiang y la Universidad de Queensland.

La investigación indica que, al manipular el código de los contratos inteligentes o scripts de programación de tokens ERC-20 que cotizan en plataformas de intercambio de Criptomonedas con métodos deficientes de verificación de transacciones, un hacker puede desviar fraudulentamente cantidades exorbitantes de fondos prácticamente sin costo alguno. El ataque de depósito falso podría provocar la caída de la plataforma, provocando la pérdida de fondos de los titulares de tokens ERC-20 y otras criptomonedas.

Sigue leyendo: ¿Cómo funcionan los contratos inteligentes de Ethereum ?

Algunos titulares también podrían tener problemas para acceder a los servicios públicos adquiridos con tokens ERC-20, que están cada vez más vinculados a bienes y necesidades como energía, bienes raíces y seguros.

"Si se lleva a cabo el ataque del depósito falso, sin duda será un gran desastre para el token", declaró ONE de los investigadores, Haoyu Wang, profesor asociado de informática de la Universidad de Correos y Telecomunicaciones de Pekín. "En el peor de los casos, el token tendrá que ser reemitido".

Posibles soluciones

Dado que los contratos inteligentes son permanentes en la blockchain de Ethereum y no se pueden revertir, recae en las plataformas de intercambio de Criptomonedas la responsabilidad de corregir los procedimientos de tokens ERC-20, que ya son propensos a ataques de depósitos falsos. Fabian Vogelsteller, desarrollador de Ethereum que creó las monedas ERC-20, afirmó que las plataformas de intercambio de Criptomonedas pueden incluir en la lista negra los contratos de tokens maliciosos.

Sigue leyendo: Las ventas de tokens regresan en 2020

Lei Wu, profesor asociado de ciberciencia de la Universidad de Zhejiang y otro miembro del equipo de investigación, también sugirió la creación de los llamados contratos inteligentes proxy para KEEP la opción de reemplazar los antiguos contratos inteligentes de Ethereum . Sin embargo, algunos desarrolladores de Ethereum han evitado escribir contratos inteligentes proxy debido a sus propios riesgos de seguridad.

Para los tokens ERC-20 que se están desarrollando, la Fundación Ethereum recomienda que los desarrolladores de la cadena de bloques Ethereum implementen el estándar de software de contrato inteligente protector como medida de seguridad contra intercambios de Criptomonedas desatentos, dijeron Wang y Wu.

Cómo funciona: Duplicación de transacciones

Un contrato inteligente ERC-20 sin el estándar de software blockchain Ethereum EIP-20Introducido en 2017, se basa en lo que en informática se conoce como una sentencia de programación condicional para comprobar si hay saldos de tokens insuficientes. Esta sentencia condicional genera una sentencia "devolver falso" que impide la finalización de una transacción de tokens. Esta sentencia "devolver falso" se convierte en la base del ataque de depósito falso contra plataformas de intercambio de Criptomonedas que no realizan comprobaciones de seguridad tras la llamada a las funciones de programación "transfer" y "transferFrom".

El ataque funciona inicialmente emitiendo un contrato inteligente ERC-20 a una plataforma de intercambio de Criptomonedas y transfiriendo un token ERC-20 a una cuenta de la plataforma. En una plataforma descentralizada, la función de programación "depositToken" puede indicar a la función "transferFrom" que deposite la cantidad de tokens que desee en la cuenta del atacante. En una plataforma centralizada, se llama a la función "transfer", con los campos "_to" y "_value" del contrato inteligente configurados con la dirección de la cuenta del atacante y la cantidad de tokens deseada.

¿Qué tokens ERC-20 están en riesgo?

Los tokens vulnerables con mayor volumen de negociación en plataformas de intercambio descentralizadas (CloudBric, MovieCredits, BullandBear, LOVE y EtherDOGE) han tenido poca o ninguna actividad, según el estudio. Estos tokens ERC-20 circulan en tres plataformas de intercambio descentralizadas ( IDEX, DDEX y Ether Delta), que solucionaron la vulnerabilidad este mes, según los investigadores del estudio.

Sigue leyendo: Los volúmenes de intercambio descentralizado aumentaron un 174% en julio, superando los $4.3 mil millones y estableciendo un segundo récord consecutivo.

En contraste, 7716 de los tokens ERC-20 vulnerables al ataque de depósito falso (el 99,2 % de los identificados) cotizan en plataformas de intercambio centralizadas como Binance, Coinbase, OkEx y Kraken. Los tokens afectados en plataformas de intercambio centralizadas, donde se negocia la mayor parte de los tokens ERC-20 que no cumplen con el estándar, se valoraron en más de 1100 millones de dólares en abril.

El token BRC de Baer Chain, el Basic Attention Token del navegador web de Privacidad Brave (BATEl token HPT de la plataforma de intercambio de Criptomonedas china Huobi, el token RPL del servicio de aplicaciones Ethereum de Rocket Pool y el token PWR de la blockchain de la red eléctrica Power Ledger registraron las mayores capitalizaciones de mercado registradas entre los tokens vulnerables almacenados en plataformas de intercambio centralizadas. Según la investigación, se vieron afectados aproximadamente $391,000 en 87,000 BRC, $388,000 en 305,000 BAT, $63,000 en 1,000 HRT, $39,000 en 3,000 RPL y $28,000 en 50,000 PWR.

Identificación limitada

Al ser consultados, los informáticos se negaron a identificar las monedas Ethereum afectadas, además de las que tienen los cinco volúmenes más altos en plataformas de intercambio descentralizadas y las cinco mayores capitalizaciones de mercado en plataformas centralizadas. Los investigadores tampoco determinaron qué plataformas centralizadas no han implementado los procedimientos recomendados de seguridad para tokens Ethereum .

“Algunas de las vulnerabilidades y ataques que identificamos han sido confirmados”, afirmó Wang. Ni los investigadores ni PeckShield, empresa de seguridad blockchain que colaboró con el equipo de investigación, han decidido identificar públicamente tokens vulnerables aparte de los 10 conocidos, añadió Wang.

Yan Zhu, director de seguridad de la información de Brave Software, dijo que la vulnerabilidad no está vinculada a la billetera del navegador Brave y que los tokens de atención básica afectados se implementaron sin contratos inteligentes proxy antes de que se implementara el estándar de cadena de bloques Ethereum EIP-20. modificadoen 2017 para integrar la implementación de software que previene el ataque de depósito falso.

Sigue leyendo: Gemini Cripto Exchange se integra con el navegador Brave, centrado en la privacidad.

Power Ledger, por otro lado, implementó sus tokens ERC-20 afectados incluso después de que la Fundación Ethereum publicara la implementación actualizada del software EIP-20. Por ahora, John Bulich, director técnico de Power Ledger , aconseja a sus clientes que guarden sus propios Cripto en sus billeteras seguras y no confíen en las plataformas de intercambio centralizadas más allá de sus valores actuales.

Los cinco emisores conocidos de los tokens afectados en los intercambios centralizados no respondieron a las preguntas sobre si habían consultado con los intercambios de Criptomonedas sobre la vulnerabilidad.

Huobi, Baer Chain y Rocket Pool no respondieron a las solicitudes de comentarios.