Investigadores de la Universidad de Queensland, la Universidad de Correos y Telecomunicaciones de Beijing, la Universidad de Zhejiang y la Universidad de Pekín han publicado un documento que describe una vulnerabilidad que afecta a más de 7.000 tokens basados en Ethereum. 

Básicamente, los tokens creados tienen métodos de verificación que no son suficientemente buenos para los contratos ERC-20 lanzados después de 2017. La vulnerabilidad permite manipular la base del código del token y los hackers pueden robar fácilmente millones de dólares ejecutando la “vulnerabilidad de falso depósito”.

Lo peor es que hay más de 25 millones de contratos inteligentes creados usando la red de Ethereum y los investigadores dicen que solo “0,36% de estos han lanzado su base código fuente según nuestro conjunto de datos”. 

Tanto las plataformas centralizadas como descentralizadas son vulnerables

Además, el documento dice que los tokens son vulnerables tanto en exchanges descentralizados (DEX) como en exchanges centralizados (CEX) porque permiten que sus monedas sean intercambiadas “sin una exhaustiva verificación”.

El equipos de investigadores aprovechó una herramienta llamada “DEPOSafe”, que permite probar un gran número de contratos inteligentes basados en Ethereum.

“En este trabajo, hemos caracterizado sistemáticamente la vulnerabilidad de falso depósito en Ethereum. Se propuso DEPOSafe, una herramienta automatizada, para realizar la detección y la verificación de la vulnerabilidad”, asegura el documento.

“Demostramos la eficiencia de DEPOSafe con experimentos en un gran número de contratos inteligentes. Nuestras observaciones revelan la prevalencia de la vulnerabilidad de falso depósito en los contratos inteligentes ERC-20”, escribieron los académicos de las universidades.

Dos tipos de ataque

Los investigadores encontraron que 7.735 tokens pueden ser afectados por la vulnerabilidad usando un “ataque tipo I”. Mientras que 7.716 tokens son vulnerables al “ataque tipo II” con una capitalización de mercado de más de mil millones de dólares. 

“La cantidad de propietarios y transacciones sería 695 mil y 4,6 millones respectivamente”, destaca el documento.

El trabajo también identifica los DEXs que tienen un intercambio diario alto y podrían sufrir el ataque de falso depósito. Entre las plataformas DEX incluídas en el documento están EtherDelta, DDEX e IDEX.

Los exchanges descentralizados (CEX) que pueden ser víctimas de estos ataques pueden perder montos significativos.

“Si un CEX permite que estos tokens sean intercambiados sin una completa verificación, las pérdidas financieras serán tremendas”, enfatiza el trabajo.

Los autores del informe dicen que sus esfuerzos pueden “contribuir a hacer que los desarrolladores sean conscientes” y con suerte “promover las mejores prácticas operacionales en las blockchains”.

Las plataformas CEX mencionadas en el estudio incluyen compañías como Kraken y Coinbase. Los tokens ERC-20 que supuestamente son vulnerables al depósito falso incluyen BRC, PWR, BAT, HPT, Cloudbric, RPL, MOVIECREDITS y más.

¿Qué opinas acerca del ataque de falso depósito? Comparte con nosotros tu opinión en la sección de comentarios.

Artículo original escrito por Jamie Redman para News.bitcoin.com

Traducido por Carlos Hernández-Bitter para Pandanoticias.xyz

Comentarios

Comentarios