Un 'hacker' podría haber conseguido una cantidad casi "infinita" de criptomonedas, pero elige llevarse 'solo' una recompensa de 2 millones por avisar de un agujero de seguridad
- Un ingeniero informático descubrió cómo engañar a la solución de escalado de ethereum, Optimism, para que imprimiera un número ilimitado de un 'token' asociado a una criptomoneda principios de este mes.
- En lugar de aprovechar el fallo, avisó a la plataforma y esta le recompensó con casi dos millones de euros.
- Comienza el día bien informado con la selección de noticias de Business Insider España: suscríbete gratis aquí.
“La semana pasada descubrí un error crítico que habría permitido a un atacante imprimir una cantidad ilimitada de criptomonedas, por lo que gané una recompensa de 2 millones de dólares”.
La frase es de Jay Freeman, un ingeniero de software estadounidense que utiliza el apodo de 'Saurik' en internet, muy conocido dentro del mundo de los desarrolladores de apps para móviles por haber creado un software que permite descargar e instalar aplicaciones al margen de la App Store (Cydia) en los iPhone de Apple.
Ahora, sin embargo, acapara los focos por una razón bien distinta: acaba de percibir una recompensa millonaria a cambio de tener la opción de convertirse en uno de los mayores criptomillonarios del planeta.
La cuestión gira en torno a un agujero de seguridad descubierto en Optimism, una solución de segunda capa para Ethreum que trata de abordar los problemas de congestión y escalabilidad presentes en la red de contratos inteligentes.
La vulnerabilidad daba la opción a quien la detectara a tener acceso a "una cantidad ilimitada" de tokens OETH, la versión Optimism de ethereum, una de las mayores criptomonedas del mercado que este martes se negociaba a 2.750 euros por unidad.
Freeman podría haber elegido convertirse en multimillonario gracias a ese agujero de seguridad, pero decidió en su lugar advertir del fallo a la plataforma para que lo solucionaran.
"Una de las cosas más 'divertidas' de trabajar en criptografía es exactamente lo que la hace 'aterradora': las apuestas (financieras) tienden a ser extremadamente altas. Una de las ramificaciones de esta idea es que la investigación sobre seguridad importa mucho más que en otros campos del software", resume Freeman en un largo texto en su blog.
"¿Creemos de verdad que 'el código es la ley', y que si alguien encuentra un error que le permite llevarse 1.000 millones de dólares el resto del mundo [en referencia a los desarrolladores] debería pensar 'supongo que alguien cometió un error'?
Si es así, ¿cambia tu visión si no vas a beneficiarte personalmente, sino que vas a destruir un sistema que la gente estaba utilizando?", reflexiona Freeman, que se autodenomina 'hacker' de sombrero gris, es decir, un experto en ciberseguridad que puede llegar a traspasar barreras éticas para investigar amenazas y vulnerabilidades pero que no lo hace con intención dañina.
Pero, ¿qué es exactamente lo que ha pasado para que alguien pudiera 'imprimir' criptomonedas infinitas?
El desarrollador ha explicado que descubrió el fallo mientras investigaba los llamados "nano protocolos de pago". Optimism es uno de estos protocolos, y permite a los usuarios enviar pequeñas cantidades de criptomonedas con pocas comisiones de transacción, aunque con contrapartidas de seguridad.
El error en concreto, un desbordamiento, es en pocas palabras un fallo de seguridad que permite a los atacantes eludir las defensas de la red.
De acuerdo con la información aportada por Protos, la plataforma acuña tokens alternativos de ether que solo existen en la red de Optimism. Los usuarios primero bloquean su ETH dentro de un contrato inteligente como garantía para recibir sus tokens, que se duplican como garantía.
De este modo los tokens pueden ser objeto de transacciones más rápidas y baratas en comparación con las transacciones en la blockchain casi instantáneamente, lo que convierte a Optimism en una potencial solución para escalar Ethereum. Cuando los usuarios de Optimism quieren cobrar esas garantías, primero deben esperar una semana antes de que se liberen sus tokens de ether "reales".
Desde Optimism aseguran que el error tuvo lugar al activarse repetidamente el código 'SELFDESTRUCT' de operación en un contrato que tenía un saldo de ETH. En cualquier caso, apuntan que ya se ha implementado una solución. "Estamos extremadamente agradecidos con los piratas informáticos como Saurik por ayudar a mantener a Optimism a salvo", explican.
Los fallos en las grandes plataformas se acumulan
A pesar de suponer una revolución tecnológica, el mundo de las criptomonedas y los NFT no es perfecto. Hace unas semanas, OpenSea, la plataforma más famosa del mundo NFT, sufrió un fallo que permitía a algunos usuarios comprar NFT por precios muy inferiores a los que marca actualmente el mercado.
Según informó el medio Cointelegraph, muchos hackers aprovecharon el fallo y lograron comprar los NFT a su antiguo precio de cotización y luego venderlos al precio actual de mercado.
El medio Cryptopolitan.com también se ha hecho eco en los últimos meses de varios ataques a ethereum. Por ejemplo, en 2016, un individuo desconocido comenzó a robar dinero de la primera organización autónoma descentralizada de Ethereum, o DAO. El DAO se estableció semanas antes, después de una venta masiva de 150 millones de dólares.
El último afectado ha sido uno de los puentes más populares que une las blockchains de ethereum y solana, que ha perdido el equivalente a 283 millones de euros tras un aparente hackeo.
Este robo supone una cifra pocas veces vista antes en la historia de las finanzas descentralizadas, tan solo por detrás del robo a la criptomoneda Poly Network, por valor de 531 millones de euros, según informó la CNBC.
Otros artículos interesantes:
Descubre más sobre Iván Cáceres, autor/a de este artículo.
Conoce cómo trabajamos en Business Insider.