Halborn, una empresa de ciberseguridad, ha descubierto un fallo que expone a más de 280 blockchains a un supuesto ataque del 51%. Echamos un vistazo a este fallo, contra el que muchos actores ya han tomado medidas.
Una vulnerabilidad expone a muchas blockchains a un ataque del 51%
Como parte de una auditoría de seguridad realizada inicialmente en marzo de 2022 por Halborn en el código fuente abierto de Dogecoin (DOGE), la compañía descubrió varias vulnerabilidades comunes a otras redes. Y con razón, se determinó después de una extensa investigación que más de 280 blockchains estaban afectadas, y que para uno de los más críticos de estos defectos, su explotación podría teóricamente facilitar un ataque del 51%.
Un ataque de este tipo, si tiene éxito, permitiría tomar el control de la red afectada. El fallo, denominado RAB13, permitiría enviar mensajes maliciosos a los nodos de una red, paralizándolos. El ataque se vería entonces facilitado por el hecho de que sería más fácil controlar el 51% de la red, como explicó Halborn en un hilo de Twitter:
En segundo lugar, los atacantes pueden ejecutar código a través de la interfaz pública (RPC) como un usuario normal del nodo. Dado que se requiere una credencial válida para llevar a cabo el ataque, la probabilidad de este exploit es menor.
– Halborn (@HalbornSecurity) 13 de marzo de 2023
Una actualización para abordar el problema
Tras este descubrimiento, los equipos de Halborn trataron de ponerse en contacto con las distintas entidades detrás de cada blockchain afectada. En total, se consideraron «en riesgo» 25.000 millones de dólares de capitalización, y esto incluía redes como Litecoin (LTC) y Zcash (ZEC). Estas dos últimas ya han anunciado que han tomado medidas.
Este problema sólo afecta a las blockchains con un consenso que utiliza un modelo proof-of-work (PoW). En concreto, Halborn afirma que se aplica a «nodos basados en UTXO», y que se debe realizar la última actualización de software para cerrar las lagunas.
Dado que nunca se han descubierto ni explotado, todas las vulnerabilidades comentadas se denominan fallos de «Día Cero»:
» Posteriormente, también se descubrieron variantes de estos «zero-days» en redes blockchain similares, como Litecoin y Zcash. […] En las redes vulnerables, la explotación con éxito de la vulnerabilidad en cuestión podría dar lugar a una denegación de servicio (DDoS) o a la ejecución remota de código. «
No se ha informado de consecuencias graves como resultado de estos hallazgos. No obstante, se anima a todos los implicados en esta base de código común a que realicen las actualizaciones necesarias y se pongan en contacto con los equipos de Halborn en caso necesario.
