Un investigador y especialista en hacking ético obtuvo un histórico pago de $10 millones USD después de reportar una vulnerabilidad crítica en Wormhole, el contrato de puente central de Ethereum. Wormhole es un protocolo descentralizado que permite la interoperabilidad entre estructuras blockchain como Ethereum, Terra y Binance Smart Chain (BSC).
El reporte, a cargo de un investigador conocido simplemente como ‘Satya0x’, detalla que la explotación de esta falla podría haber permitido a los hackers maliciosos exigir un rescate con la amenaza de bloquear el acceso al protocolo, lo que habría dejado inutilizables todos los fondos almacenados.
En su prueba de concepto (PoC), publicada en GitHub, el investigador señala que más de $730 millones USD en activos virtuales residían en el contrato Wormhole al momento de realizar las pruebas. En respuesta, Wormhole aprobó el pago máximo establecido en su programa de recompensas por vulnerabilidades.
La vulnerabilidad fue descrita como un error de autodestrucción de implementación de proxy actualizable, y fue validada y corregida a finales de febrero, unas horas después de que el investigador presentara su reporte.
Al parecer, este error existe debido a una implementación para un proxy Universal Upgradeable Proxy Standard (UUPS), que no fue inicializado después de que una corrección anterior revirtiera la inicialización original. Los actores de amenazas podrían haber pasado su propio conjunto Guardian y proceder con la actualización como un Guardian bajo su control.
Posteriormente, los hackers maliciosos podrían forzar un intento de actualización con submitContractUpgrade(), provocando una DELEGATECALL a una dirección maliciosa; en esta etapa, los atacantes podrían ejecutar un código SELFDESTRUCT para eliminar definitivamente el contrato de implementación.
Satya0x se mostró satisfecho con su trabajo y con la disposición mostrada por Wormhole e Immunefi, operadora del programa de recompensas del contrato: “Estoy orgulloso de haber participado en la mitigación de esta vulnerabilidad”.
Una recompensa de $10 millones USD parece algo completamente desmedido, aunque esto se explica si se analiza en las grandes y frecuentes pérdidas que sufren las plataformas de finanzas descentralizadas (DeFi). A inicios de 2022, el mismo Wormhole perdió $325 millones USD derivados de un ciberataque de origen desconocido, por lo que no debería resultar extraño que sus programas de recompensas resulten tan atractivos a la comunidad del hacking ético.
Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).
Trabajando como arquitecto de soluciones de ciberseguridad, Alisa se enfoca en la protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad dentro de una variedad de empresas de seguridad cibernética. También tiene experiencia en diferentes industrias como finanzas, salud médica y reconocimiento facial.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad
