Los investigadores del proveedor de servicios de billetera ZenGo han descubierto una vulnerabilidad entre algunas billeteras de criptomonedas que podría ver a los usuarios de estas billeteras sufrir un ataque de «doble gasto».
Según un informe publicado por ZenGo el jueves, la vulnerabilidad hace uso de la función Replace by Fee (RBF) de redes populares de blockchain como bitcoin. Reemplazar por tarifa es una forma de reemplazar una transacción pendiente con otra del mismo monto pero con una tarifa diferente para asegurar el proceso de confirmación. Idealmente, un usuario de billetera con una transacción pendiente con tarifas de red pequeñas optaría por reemplazar la transacción con otra agregada con más tarifas para garantizar una confirmación más rápida.
Según ZenGo, la función RBF recibe diversos tratamientos por parte de varias billeteras. Según el informe, los investigadores de ZenGo solo pudieron probar diez de los principales servicios de billetera que son Ledger Live, Trust wallet, Exodus, Edge, Bread, Coinbase, Blockstream Green, Blockchain y Atomic Wallet.
De estos servicios de billetera, se descubrió que tres tenían la vulnerabilidad particular a la que se referían como «big-spender». Estas billeteras son Ledger Live, Edge y Breadwallet (BRD).
«Como parte de nuestra investigación de seguridad en curso en el campo de las billeteras de Bitcoin, investigamos el manejo de la función Reemplazar por tarifa (RBF) de Bitcoin entre las diferentes billeteras existentes», señaló ZenGo. «Desafortunadamente, como mostramos en este [informe], algunas billeteras no manejan bien tales escenarios».
ZenGo continúa señalando que estas billeteras tienen varias formas de manejar transacciones RBF, pero el tema común es que no logran advertir a los usuarios sobre la naturaleza de estas transacciones. Efectivamente, si un usuario cree que le han pagado, puede autorizar un servicio solo para darse cuenta más tarde de que la transacción se canceló. ZenGo explica que estas billeteras realizan un trabajo inferior a la media, especialmente en lo que respecta a la interfaz de usuario y la experiencia de usuario que permitiría a sus usuarios identificar transacciones sospechosas.
«El problema central en el corazón de la vulnerabilidad BigSpender es que las billeteras vulnerables no están preparadas para la opción de que una transacción pueda cancelarse y supongan implícitamente que eventualmente se confirmará», informan los investigadores de ZenGo.
Para que los usuarios se protejan contra esta vulnerabilidad, ZenGo recomienda asegurarse de que todas las transacciones se confirmen en blockchain. Esto se puede hacer usando un explorador de bloques. Los expertos recomiendan al menos seis (6) confirmaciones para cada transacción antes de proceder a autorizar cualquier servicio. De esta manera, si el atacante cancela la transacción, el receptor puede ver la cancelación a tiempo. Sin embargo, esto es solo parte de la función de usuario. ¿Qué pasa con los servicios de billetera que tienen la vulnerabilidad en primer lugar?
Bueno, según el informe, ZenGo afirma que algunos de los servicios de billetera no han asumido la responsabilidad. La mayor sugerencia de ZenGo es que estas billeteras creen una mejor interfaz de usuario que distinga entre transacciones confirmadas y transacciones pendientes.
«En algunas billeteras, la representación gráfica de una transacción no confirmada en la interfaz de usuario de la billetera no se distingue bien de un estado confirmado, lo que dificulta aún más que los usuarios comprendan que estas transacciones aún no son definitivas».
Sin embargo, en su parte, ZenGo le dio a los servicios de billetera los 90 días habituales para corregir la vulnerabilidad antes de hacerla pública. Como se esperaba, algunas de las billeteras le han pagado a ZenGo una tarifa de recompensa por errores por sus esfuerzos para advertirles de la vulnerabilidad.
Si este artículo le pareció interesante, aquí puede encontrar más noticias sobre Blockchain y criptomonedas