El Explora de un error en un exchange evita el robo de tokens de Ethereum

Un error descubierto el mes pasado podría haber vaciado potencialmente las cuentas de intercambio que contenían tokens digitales utilizados para impulsar la aplicación distribuida basada en Ethereum Golem.

Sin embargo, debido a la naturaleza del error, también podría haberse utilizado en otros tokens de Ethereum listados en el exchange. Esto se debe a que utilizaba el estándar ERC-20 de la plataforma, una característica que ha ganado adeptos en el sector del exchange gracias a su capacidad para reducir el tiempo que tardan los exchanges en añadir nuevas monedas.

Sin embargo, un partidario de Golem y poseedor de GNT encontró el error el 18 de marzo y lo informó al equipo de desarrolladores antes de que pudiera usarse con fines maliciosos.

El problema que salió a la luz se debe a cómo los intercambios preparan los datos para las transacciones y cómo Solidity (el lenguaje de contratos inteligentes de Ethereum ) codifica y decodifica los datos de las transacciones, según el ingeniero de software de Golem Factory, Pawel Bylica, quien publicó un informesobre el tema.

Según su evaluación, el servicio que preparó los datos para las transferencias de tokens asume una entrada de dirección de 20 bytes de longitud, pero en realidad no verificó que la entrada tuviera la longitud correcta.

Como resultado, una longitud de dirección más corta provocó que el monto de la transacción se desplazara hacia la izquierda, aumentando así su valor.

El usuario de Golem reportó una transacción "extraña" que generó tanto valor que podría haber vaciado por completo la cuenta GNT del exchange, según la publicación de Bylica. De hecho, la única razón por la que esto no ocurrió, según él, es que la cantidad era tan grande que al exchange le resultó imposible completarla.

El error ya se ha corregido y el equipo de Bylica ha notificado a otros exchanges sobre la posible vulnerabilidad.

'Conmocionado y aterrorizado'

Sin embargo, el error aún alimentaba los temores, dado que podría haber sido ampliamente aplicable a otros intercambios que utilizan tokens ERC-20.

Aunque el equipo de Bylica no ha verificado la existencia de esta vulnerabilidad en otros intercambios, mencionó que los posibles inconvenientes eran graves.

"Nos quedamos impactados y un BIT aterrorizados al darnos cuenta de las posibles consecuencias si alguien se aprovechara de ese error para obtener múltiples tokens en múltiples exchanges", escribió Bylica.

Afortunadamente, algunas de las soluciones propuestas son relativamente sencillas de implementar.

"El simple hecho de comprobar la longitud de la dirección proporcionada por el usuario protege [los intercambios] del ataque descrito", escribió Bylica.

Reacciones de Reddit

La reacción en Reddit varió desde una leve indignación hasta debates sobre la responsabilidad de los exchanges de brindar mayor seguridad.

"Esto es básico", escribió el usuario BullBearBabyWhale. "Me sorprende una vez más cómo las empresas serias en este ámbito (que gira en torno a la seguridad) no se lo toman en serio".

Para aquellos que almacenan tokens basados en Ethereum, incluidos tokens ERC-20, en un intercambio, el usuario de Reddit 1up8192 recomendó comunicarse con los proveedores de servicios para ver si habían verificado la vulnerabilidad.

"Pregunte en su exchange si conocen la posibilidad de la inyección y si resolvieron el problema", escribieron.

Código de computadoraimagen vía Shutterstock