El CTO de Ledger advierte a los usuarios de criptomonedas sobre los peligros de las ‘firmas a ciegas’
Con el reciente ataque a OpenSea que destaca las vulnerabilidades de la cadena de bloques, Charles Guillemet, el CTO de Ledger, advierte a los usuarios sobre las “firmas a ciegas”, que él define como “dar consentimiento para que una transacción se firme a ciegas, sin entender lo que significa”.
En una entrevista con Cointelegraph, Guillemet analizó los problemas y destacó los asuntos con la firma a ciegas. El CTO de Ledger señala que dar consentimiento a las transacciones requiere firmar un mensaje que se enviará a la cadena de bloques. Un usuario es el único capaz de firmar transacciones con la clave privada, mientras que otros pueden verificar si es correcta. “El problema es que este mensaje no es inteligible por defecto. Es una carga útil digital”, dice Guillemet.
Guillemet también explicó que cuando se firma una transferencia de monedas, normalmente está respaldada por una billetera que “analiza correctamente la carga útil y muestra su intención”. Sin embargo, cuando se trata de firmar interacciones complejas con contratos inteligentes, Guillemet dice que “el análisis de la pantalla no siempre se admite correctamente y no tiene más remedio que dar su consentimiento a ciegas para una transacción que no comprende”.
“Es arriesgado porque puede pensar que está firmando una transacción para mover parte de sus fondos a la dirección A cuando en realidad firma una transacción para mover todos sus fondos a la dirección B”.
El experto en seguridad también dio ejemplos en los que la firma a ciegas condujo a pérdidas significativas. En el exploit más reciente de OpenSea, los usuarios se encontraron con un ataque de phishing que resultó en la pérdida de USD 1.7 millones en tokens no fungibles (NFT). Guillemet señala que en este incidente, los atacantes engañaron a sus víctimas para que firmaran a ciegas un mensaje que les otorgaba su consentimiento para vender todos sus NFT por 0 ETH.
“El atacante solo tenía que firmar una transacción que decía ‘Estoy de acuerdo en comprar estos NFT por 0 ETH’ y luego presentó estos dos mensajes a OpenSea para ejecutar la transacción intercambiando 0 ETH contra todos los NFT de las víctimas”.
Cuando se le preguntó cuál creía que es la solución al problema de la firma a ciegas, Guillemet recurrió a un viejo adagio cripto, “no confíes, verifica”. Les dice a los usuarios de criptomonedas que “siempre verifiquen la transacción que aceptan firmar”. Una sugerencia que planteó el experto en seguridad es firmar transacciones utilizando pantallas confiables que se pueden encontrar en billeteras de hardware.
Aclaración: La información y/u opiniones emitidas en este artículo no representan necesariamente los puntos de vista o la línea editorial de Cointelegraph. La información aquí expuesta no debe ser tomada como consejo financiero o recomendación de inversión. Toda inversión y movimiento comercial implican riesgos y es responsabilidad de cada persona hacer su debida investigación antes de tomar una decisión de inversión
Sigue leyendo:
Las inversiones en criptoactivos no están reguladas. Es posible que no sean apropiados para inversores minoristas y que se pierda el monto total invertido. Los servicios o productos ofrecidos no están dirigidos ni son accesibles a inversores en España.