Error de doble gasto y hasta múltiple

La compañía descubrió una falla en la interfaz de usuario de los servicios de las wallets Ledger Live, Edge y BRD, la cual puede ser explotada por los atacantes para hacerles creer a los usuarios que habían recibido una cantidad de BTCs cuando no era así. Los proveedores mencionados en el informe confirmaron que conocen el problema y lo han abordado. 

“Hoy revelamos la familia de vulnerabilidades BigSpender. Estas son un conjunto de vulnerabilidades en las billeteras populares de Bitcoin, incluidas Ledger Live, la billetera BRD y la billetera Edge que pueden exponer a los usuarios a ataques de doble gasto y múltiple (BigSpender), y potencialmente evitar que gasten su saldo”.

ZenGo informó oportunamente de la vulnerabilidad (CVE-2020-12119) a las empresas y acordó mantener la confidencialidad durante 90 días, para posteriormente realizar un proceso de divulgación formal. Este plazo ya expiró el 1 de julio de 2020, por lo que procedió a publicar los detalles.

¿Cómo ocurre este fraude?

La empresa explicó de una manera sencilla cómo ocurre el fraude. A modo de hipótesis, si se recibe alguna transferencia en criptomonedas por concepto de bienes o servicios que se vendieron, y se confirma en la cuenta, se está seguro que es así porque lo muestra la cuenta. 

Sin embargo, para que este tipo de transacciones sean efectivas, los mineros de la red deben confirmarla primero, lo que lleva tiempo. El hacker pudiera explotar la posibilidad de cancelar una transacción pendiente de ser confirmada, y si la wallet no detalla el estado de la misma en su interfaz y solo la muestra como aprobada, quien recibe el pago pudiera pensar que recibió los activos cuando no fue así.

Un atacante podría realizar este truco varias veces, por ejemplo, enviando repetidamente transferencias en BTC correspondientes a 100 USD y luego cancelando la misma factura, para crear la ilusión de enviar 10.000 USD sin ser detectado. Para colmo, el dueño de la cuenta descubre que no puede disponer del saldo que tenía antes del evento o de las transacciones fraudulentas, porque esos movimientos corrompieron la respectiva cuenta.

A este tipo de ataques es lo que se conoce como BigSpender, donde el pirata cibernético cancela una transacción de BTC, esta aparece en la wallet vulnerable de la víctima y el costo de realizarlos es bastante bajo.

Esta problema explota la vulnerabilidad del interfaz de las wallets a través una función de Bitcoin llamada Replace-by-Fee (RBF), que permite modificar transacciones no confirmadas pagando una comisión correspondiente. Este es un método que puede permitir que los usuarios retrocedan la transacción que está por confirmarse, y es allí donde entra el hacker para actuar y cometer el fraude.

En líneas generales, prevenir este tipo vulnerabilidades no es tarea sencilla. Pero para que los usuarios de este tipo de wallets puedan protegerse, ZenGo aconseja a los usuarios de bitcoin que deben esperar las confirmaciones cuando reciban los pagos, y que una wallet muestre el estado actual de la transacción ayuda a esto.

¿Cómo te parece el hallazgo de ZenGo en cuanto a las vulnerabilidades de las wallets mencionadas? ¿Qué tipos de medidas tomas para protegerte de los posibles ataques? Cuéntanos más en la sección de comentarios. 

Comentarios

Comentarios