A través de su programa de recompensas, la firma de tecnología blockchain Polygon pagó $2 millones USD al hacker ético Gerhard Wagner, quien reportó una vulnerabilidad de “doble gasto” cuya explotación habría permitido a los hackers maliciosos extraer el doble de una cantidad de criptomoneda a retirar decenas de veces. En otras palabras, un usuario malicioso con apenas $4,500 USD en criptomoneda podría haber retirado más de $1 millón USD explotando el ataque.
Descrito por sus desarrolladores como un protocolo para la construcción de redes blockchain compatibles con Ethereum, Polygon ofrece un canal de transacciones bidireccionales basado en lo que se conoce como red Plasma para la autenticación y procesamiento de transacciones de criptomoneda. La falla reside en DepostiManagerProxy, un contrato de Plasma.
Según reportes técnicos, explotar la falla habría sido posible debido a que el ataque se aprovecha del hecho que, cuando un usuario deposita fondos en la infraestructura blockchain, estos se bloquean en una primera etapa y son dejados a disposición de la red Plasma. Posteriormente, un agregador agrupa las transacciones de Plasma en bloques y envía puntos de control a la primera etapa, confirmando el correcto procesamiento de las transacciones en las cadenas secundarias.
Cuando un usuario decide retirar sus fondos de la primera etapa, los tokens deben “quemarse” en la cadena Plasma. El usuario presenta el recibo de la transacción de quemado al puente Plasma como prueba de que los tokens se quemaron y, después de siete días, los fondos se pueden retirar. Una falla en la red podría haber permitido que un atacante quemara una sola transacción hasta 233 veces, liberando hasta $850 millones USD en activos virtuales.
El investigador cree que la falla existió debido a que la red Plasma se construye a base de un código de terceros, pues esto dificulta la comprensión del código utilizado. Además, Wagner agregó que está bien usar bloques de construcción existentes cuando escribe contratos inteligentes, pero es necesario comprender todas las implicaciones de hacerlo.
Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).
Trabajando como arquitecto de soluciones de ciberseguridad, Alisa se enfoca en la protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad dentro de una variedad de empresas de seguridad cibernética. También tiene experiencia en diferentes industrias como finanzas, salud médica y reconocimiento facial.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad