Zähne natürlich aufhellen – candybrain.de

ZenGo descubrió la vulnerabilidad a los ataques de doble gasto en las carteras criptográficas Ledger Live, Bread and Edge.
Las carteras, según se informa, no daban cuenta de una posible cancelación de las transacciones.
El jefe de tecnología de Ledger argumentó que el exploit es más bien una „astuta pieza de engaño“ que una vulnerabilidad.

„En algunas de las carteras vulnerables, este ataque es difícil (o incluso imposible) de recuperar. Incluso reinstalar la cartera no hace que se vuelva a sincronizar con la red de Bitcoin Code y muestre el equilibrio adecuado. Si no es posible la recuperación, el ataque de denegación de servicio se convierte en permanente“, advirtió ZenGo.
¿Explotación o simple engaño?

Los desarrolladores de la billetera criptográfica sin llave ZenGo publicaron hoy un informe que detalla una vulnerabilidad a los ataques de doble gasto, apodado „BigSpender“, que descubrieron en las billeteras como Ledger Live, Bread (BRD) y Edge. En el peor de los casos, el exploit podría haber hecho inutilizables los fondos de los usuarios.

Aunque el problema ya se ha resuelto en parte, algunas de las carteras mencionadas siguen siendo algo vulnerables.

El doble gasto es una potencial hazaña en criptodivisas que permite a los actores maliciosos gastar las mismas monedas dos o más veces. Para ello, los estafadores pueden enviar una transacción con una tasa mínima y luego anularla inmediatamente aumentando la tasa (de modo que se incentivará a los mineros para que verifiquen primero la nueva transacción más rentable) y redirigiendo los fondos a una dirección diferente.

Según el informe de ZenGo, las carteras Ledger y Bread no daban cuenta de una posible cancelación de una transacción en el momento de la prueba. Además, sólo depositaron visualmente fondos adicionales en los saldos de los usuarios sin esperar una confirmación.

Revisiones de seguridad de un día de expertos

ConsenSys Diligence está a la vanguardia de la criptografía ofensiva, la tecnología de cadenas de bloques y el análisis de incentivos económicos de la criptografía.
Anuncio

„El problema central de la vulnerabilidad del BigSpender es que las carteras vulnerables no están preparadas para la opción de que una transacción pueda ser cancelada e implícitamente asumen que se confirmará eventualmente“, explicaron los investigadores.

En el caso de Ledger, se informó de que el problema se resolvió vaciando la memoria caché y forzando una resincronización de la red. Para Bread, la recuperación de esta situación podría haber sido „en realidad muy difícil“.

„Esto deja al usuario con la opción de migrar su semilla de Pan a otra cartera. Dado que Bread tiene una derivación HD no estándar de pares clave de una semilla, esto probablemente no es fácil, ya que requiere cierta experiencia del usuario y posiblemente herramientas externas“, explicó ZenGo.

El informe señaló que el problema con la billetera Edge era más sutil, ya que su saldo aumentaba sólo una vez para una serie de transacciones pendientes, y se resolvía haciendo clic en „Resync“ en el menú de opciones.

La vulnerabilidad de „alta gravedad“ encontrada en la cartera Argent Ethereum

En algunos casos, el exploit, apodado „BigSpender“, podría hacer imposible que los usuarios retiraran totalmente su saldo, ya que parte de él simplemente no existe, lo que daría lugar a transacciones fallidas. En casos más graves, como los ataques DDoS de doble gasto intencional a una cartera, sus propietarios no podrán retirar ningún fondo.

La compañía dijo que notificó a los desarrolladores de carteras vulnerables 90 días antes de hacer público el informe, pero sólo algunos de ellos decidieron arreglar completamente la vulnerabilidad.

De acuerdo con ZenGo, Bread wallet lo arregló en la versión 4.3 para iOS y Android. A su vez, Ledger „reconoció la hazaña, arregló algunos aspectos (sólo la variante amplificada) del ataque en 2.6“, pero „otras variantes no están arregladas todavía“. Edge también reconoció la vulnerabilidad y planea „arreglarla en el futuro“, dijo ZenGo.

Hablando con Decrypt, el jefe de tecnología de Ledger, Charles Guillemet, confirmó que ZenGo advirtió a su compañía sobre la explotación, pero argumentó que „BigSpender“ es más bien una „inteligente pieza de engaño“ en lugar de una vulnerabilidad en el sentido tradicional.

BTC
-0.29% $9214.5
24H7D1M1YMax
25 de junio 26 de junio 27 de junio 28 de junio 29 de junio 30 de julio 1 de julio 2900090509100915092009250
Precio BTC

„Es importante entender que más que la vulnerabilidad, el defecto real puede ser visto más como una ingeniosa pieza de engaño. El engaño no es una vulnerabilidad. Pero sí queremos evitar que alguien sea víctima de este tipo de artimañas ingeniosas“, dijo Guillemet a Decrypt, y añadió que Ledger „lanzará una actualización de nuestro software, Ledger Live, donde aparecerá un banner en cualquier momento en que una transacción entrante aún no haya sido confirmada“.

También declaró que las carteras de hardware de Ledger „no se ven afectadas por este fallo en la interfaz de usuario“.

Descifrar también llegó a Bread and Edge, pero no recibió ninguna respuesta en el momento de escribir este artículo.