Según informó la plataforma en su página oficial, en la tarde del 4 de junio de 2019 el equipo de Komodo recibió la notificación del equipo de seguridad de npm (Node Package Manager) de que una de las principales bibliotecas utilizadas en su wallet Agama presentaba una vulnerabilidad.

Detalles de las acciones

Luego de que medios de seguridad informaran a los desarrolladores de una posible brecha en su wallet, el equipo de Komodo tomó la decisión de explotar la vulnerabilidad para trasladar la posible cantidad de criptomonedas afectadas hacía un lugar más seguro; Komodo se comunicó ante lo ocurrido explicando el por qué tomó la decisión de auto hackearse.

“Pudimos recuperar alrededor de 8 millones de KMD y 96 BTC de estas billeteras vulnerables que, de otro modo, hubieran sido blancos fáciles para algún atacante”.

Esta acción que realizó el equipo de seguridad de Komodo, se vió reflejado en los cambios del mercado, protegiendo un total de 13 millones de dólares, de igual forma, la plataforma invita a sus distintos usuarios a reclamar sus activos en caso de haber sido afectados, por otro lado, invitan a aquellos usuarios que aún poseen criptoactivos en la wallet de la plataforma a retirarlos a otra dirección lo más rápido posible.

“Si tenía fondos almacenados en la billetera Agama de Komodo y esos fondos se transfirieron sin su conocimiento o permiso, complete este formulario lo antes posible. Tenga en cuenta que deberá completar un formulario separado para cada activo. Es esencial que todos los usuarios de Agama a quienes se mudaron sus fondos llenen el formulario”.

Como se presenta la vulnerabilidad

Así como revela el artículo, la wallet de Komodo en su versión Agama, estaba usando un módulo Node.js que contenía código malicioso, dicho módulo estaba recolectando frases semilla de usuario y almacenándolas en un servidor de acceso público. Hay que resaltar que solamente la versión de la wallet Agama de Komodo fue afectada.

Al parecer, el error fue creado intencionalmente, apuntando específicamente a la wallet, se especula que el hacker introdujo un código malicioso en una actualización de un módulo que la wallet estaba utilizando. Esta actualización contenía un código que almacenaba todas las frases iniciales en un servidor público.

Esta estrategia fue realizada para poder ocultar su identidad, abriendo la posibilidad de que cualquiera fuese culpable en caso de utilizar la vulnerabilidad para robar criptoactivos.

¿Piensas que fue una táctica acertada hacerse un hackeo a sí mismo? ¿Qué otra solución se te ocurre ante esta vulnerabilidad? Comparte tus opiniones con nosotros en la sección de comentarios.

Comentarios

Comentarios