Un grupo de hackers llevó a cabo el segundo robo más grande en la historia de las criptomonedas. Aprovecharon una falla crítica presente en ciertos contratos inteligentes de la billetera Parity de la red Ethereum para vaciar en pocos minutos tres grandes cuentas que tenían un total de US$ 31 millones en ether. Podrían haberse llevado más de US$ 105 millones pero los frenaron.
Un grupo de hackers éticos detectó el ataque y se organizó para la defensa, pero al analizarlo vieron que no había manera de revertir las transacciones. Lo hecho, hecho estaba. A su vez, descubrieron que había más cuentas vulnerables y era cuestión de tiempo para que se sumen a la lista de víctimas. Entonces, optaron por la solución más rápida: vaciarlas antes que los atacantes.
Usando el mismo truco que la competencia, escribieron un programa para robar todas las cuentas restantes y luego, una vez que las criptomonedas estuviesen a salvo, devolver los fondos a sus respectivos dueños. Funcionó.
La vulnerabilidad no tuvo que ver con la estructura de Ethereum o Parity, sino con el contrato inteligente que esta última le brindaba por defecto a los clientes que solicitaban billeteras multifirma, aquellas donde más de una persona tiene que autorizar las transacciones.
Fue un error humano. Gavin Wood, uno de los co-creadores de Ethereum y el inventor de Solidity, el lenguaje de programación para contratos inteligentes, se había equivocado. Pero el código había sido revisado por los colaboradores de Parity y cumplía con los más altos estándares que existen en el ecosistema Ethereum.
Programas una plataforma sobre la Blockchain es totalmente distinto al desarrollo de sitios y aplicaciones web. Haseeb Qureshi, un ingeniero en software que trabaja para Airbnb, explicó en el blog de Free Code Camp que quienes escriben código para la web, que hoy son la mayoría, pueden darse el lujo de “moverse rápido y romper cosas” porque luego pueden corregirlas y en el peor de los casos desconectar el servidor para impedir un ataque, pero en la Blockchain todo es permanente. El hecho probablemente hará que la comunidad para reflexione sobre las buenas prácticas que hacen a la seguridad.
Esta vez, los hackers éticos contaron con opciones muy limitadas al defender a la red y al final lo único que los diferenció de los atacantes fue su decisión de devolver US$ 77 millones que no les pertenecían a sus verdaderos dueños.
Fuente: infotechnology