Hoy no es una buena noticia para Ethereum. Una vulnerabilidad que se encuentra dentro de una billetera popular ha congelado potencialmente cientos de millones de dólares de la moneda cifrada en un segundo revés en los últimos meses.
Parity Technologies, la compañía detrás del servicio de billetera Parity, ampliamente utilizado, reveló hoy un problema que podría permitir que se borre el contenido de una billetera.
El problema afecta a los billeteros multiesigna, una tecnología que utiliza el consentimiento de varias partes para obtener seguridad adicional en las transacciones, que se implementaron después del 20 de julio. En otras palabras, las ICO que se mantuvieron desde entonces pueden verse afectadas.
Es un golpe de suerte porque es la segunda vez en pocos meses que se desencadena un importante error de paridad con repercusiones potencialmente costosas para Ethereum, que es la segunda moneda cifrada más valorada del mundo con una capitalización total del mercado de más de $ 27 mil millones. En julio, una vulnerabilidad en Parity provocó el robo de 150,000 ETH (que en ese momento valía alrededor de $ 30 millones).
Ese error fue corregido el 19 de julio, de ahí la importancia de la fecha del 20 de julio, pero un elemento positivo de ese primer susto es que muchos en la comunidad Ethereum, y particularmente aquellos que han tenido ICO, se alejaron de la tecnología a favor de alternativas. Incluso aquellos que usaron Parity pueden no haber optado por la billetera multiesigna.
Pero aún así es un gran problema de seguridad con implicaciones más amplias. Parity explicó que encontró el problema cuando se borró la billetera de un usuario:
“Tras la solución para el problema multi-sig original que se había explotado el 19 de julio (visibilidad de la función), el 20 de julio se implementó una nueva versión del contrato de la biblioteca Parity Wallet. Sin embargo, ese código aún contenía otro problema: era posible convertir el contrato de la biblioteca de Parity Wallet en una billetera multi-sig normal y convertirse en propietario al llamar a la función initWallet. Parece que el problema se desencadenó accidentalmente el 6 de noviembre de 2017 a las 02:33:47 PM + UTC y, posteriormente, un usuario acabó la biblioteca convertida en billetera, borrando el código de la biblioteca que a su vez inutilizaba todos los contratos multi-sig. lógica (cualquier función de modificación de estado) estaba dentro de la biblioteca.”
El problema parece centrarse en el hecho de que Parity Wallet funciona como un contrato inteligente.
Tweet 1: Además, marque los métodos de inicialización como solo Dueño. Esperamos ver ataques que exploten las condiciones de carrera contra estos métodos en el futuro.
Tweet 2: Parity probablemente no pensó en su billetera como un contrato clásico. Su código está en una biblioteca y delegan una llamada para ejecutarlo directamente.
No hay informes inmediatos de monedas perdidas o robadas, pero ya está claro que una cantidad considerable de Ethereum está en riesgo.
Las primeras estimaciones del investigador de criptomonedas de UCL Patrick McCorry sugieren que al menos 600,000 ETH (por valor de alrededor de $ 150 millones) están congelados. McCorry dijo a TechCrunch que el total probablemente sea aún mayor a medida que salga a la luz más información sobre el uso de paridad y los volúmenes de billetera.
Una empresa de alto perfil impactada es Polkadot, un proyecto para vincular blockchains privado-público que recaudó más de $ 140 millones en una venta de fichas y fue iniciado por el cofundador de Parity, Gavin Wood. Polkadot confirmó que sus billeteras se han congelado y TechCrunch entiende que el 60 por ciento de su aumento de ICO se ve potencialmente afectado.
Parity continúa investigando el problema. La compañía dijo en Twitter que cree que las carteras están bloqueadas. Agregó que las proyecciones para la cantidad de ETH impactada eran “especulativas”.
Tweet 3: Actualización: a nuestro leal saber y entender, los fondos están congelados y no se pueden mover a ninguna parte. El total de ETH que circula en las redes sociales es especulativo.
El precio de Ethereum cayó en las noticias de la vulnerabilidad, cayendo de $ 305 a $ 291 para alcanzar su valor más bajo durante dos semanas. Lo que suceda a continuación en esa escala puede depender de qué tan grave sea la vulnerabilidad y de qué parte total de ETH se vea afectada.
Información tomada de: Techcrunch.com