ZenGo descubre la vulnerabilidad ‘ataque de la pastilla roja’ en las populares aplicaciones Web3
De acuerdo con un blog publicado por los desarrolladores de la billetera de criptomonedas ZenGo, la empresa dijo que había descubierto vulnerabilidades de seguridad en las soluciones de simulación de transacciones utilizadas por aplicaciones descentralizadas populares, o dApps. Bautizada como “ataque de la píldora roja”, esta vulnerabilidad permitía a las dApps maliciosas robar activos de los usuarios basándose en aprobaciones de transacciones poco transparentes ofrecidas a los usuarios y aprobadas por ellos. La vulnerabilidad debe su nombre a la icónica escena de la “píldora roja” de la serie de películas Matrix.
“Si el malware es capaz de detectar que realmente se está ejecutando en un entorno simulado o viviendo en la matriz, puede comportarse de manera benigna, engañando así a la solución antimalware y revelando su verdadera naturaleza maliciosa solo cuando se ejecuta realmente en un entorno real”.
ZenGo afirmó que su investigación reveló que muchos de los principales proveedores, incluido Coinbase Wallet, fueron en un momento dado vulnerables a este tipo de ataques. “Todos los vendedores fueron muy receptivos a nuestros informes”, dijo ZenGo, “y la mayoría de ellos se apresuraron a corregir sus implementaciones defectuosas”.
La vulnerabilidad es posible debido a un descuido de programación en las “Variables Especiales” entre los contratos inteligentes que almacenan información general sobre la funcionalidad de la blockchain, como la marca de tiempo del bloque actual. Sin embargo, durante las simulaciones, ZenGo afirma que no existe un valor correcto para las Variables Especiales y afirma que los desarrolladores “toman un atajo” y las establecen en un valor arbitrario.
“Por ejemplo, la instrucción “COINBASE” contiene la dirección del minero de bloque actual. Dado que durante la simulación no hay un bloque real y, por lo tanto, no hay minero, algunas implementaciones de simulación simplemente lo configuran en la dirección nula (dirección de todos los ceros)”.
En un video, los desarrolladores de ZenGo demostraron cómo una simulación de contrato inteligente en Polygon (MATIC) les pide a los usuarios que envíen monedas nativas a cambio de otra que podría verse comprometida a través de este método:
“Cuando el usuario realmente envía la transacción on-chain, COINBASE [Wallet] en realidad se llena con la dirección distinta de cero del minero actual y el contrato solo toma las monedas enviadas”.
ZenGo dijo que la solución a la vulnerabilidad era sencilla: “en lugar de rellenar estas variables vulnerables con valores arbitrarios, las simulaciones deben rellenarlas con valores significativos”. La empresa presentó capturas de pantalla redactadas de recompensas por errores, aparentemente concedidas por Coinbase, por solucionar el problema. La Fundación Ethereum (ETH) también ha concedido a ZenGo una subvención de USD 50,000 por su investigación sobre simulaciones de transacciones.
Quick shoutout to security researcher @0xVazi from @ZenGo who made some helpful, proactive suggestions recently!
We love working together with others in the security space to keep everyone safe
— Pocket Universe (@PocketUniverseZ) January 27, 2023
Un saludo rápido al investigador de seguridad @0xVazi de @ZenGo, quien recientemente hizo algunas sugerencias útiles y proactivas.
Nos encanta trabajar junto con otros en el espacio de seguridad para mantener a todos a salvo.
Aclaración: La información y/u opiniones emitidas en este artículo no representan necesariamente los puntos de vista o la línea editorial de Cointelegraph. La información aquí expuesta no debe ser tomada como consejo financiero o recomendación de inversión. Toda inversión y movimiento comercial implican riesgos y es responsabilidad de cada persona hacer su debida investigación antes de tomar una decisión de inversión
Las inversiones en criptoactivos no están reguladas. Es posible que no sean apropiados para inversores minoristas y que se pierda el monto total invertido. Los servicios o productos ofrecidos no están dirigidos ni son accesibles a inversores en España.