La firma de seguridad de blockchain dWallet Labs reveló recientemente una vulnerabilidad que, según afirma, podría afectar hasta mil millones de dólares en criptomonedas; activos como Ether (ETH), Aptos (APT), BNB (BNB) y Sui (SUI) están en riesgo.
En un documento enviado a Cointelegraph, dWallet Labs informó de una posible vulnerabilidad en los validadores alojados por un proveedor de infraestructura llamado InfStones. Según dWallet Labs, inició un trabajo de investigación sobre ataques a redes blockchain y recopilación de claves privadas con ataques Web2. Durante esta investigación, dWallet Labs dijo que descubrió vulnerabilidades en los validadores de InfStones. Escribió:
“Una cadena de vulnerabilidades que descubrimos y explotamos durante nuestra investigación nos permitió obtener el control total, ejecutar código y extraer claves privadas de cientos de validadores en múltiples redes importantes, lo que potencialmente condujo a pérdidas directas equivalentes a más de USD 1,000 millones en criptomonedas como ETH, BNB, SUI, APT y muchas otras.”
Según dWallet Labs, un atacante que explote la vulnerabilidad puede adquirir las claves privadas de los validadores a través de diferentes redes blockchain. "Más de mil millones de dólares de activos staked estaban staked en todos estos validadores, y un atacante de este tipo habría sido capaz de obtener el control total de todos ellos", añadió.
El 21 de noviembre, InfStones respondió a la solicitud de comentarios de Cointelegraph, negando que el fallo pudiera afectar USD 1,000 millones en activos. Darko Radunovic, un representante de InfStones, dijo a Cointelegraph que la vulnerabilidad potencial sólo podría afectar a una pequeña fracción de los nodos en vivo que ya lanzó.
Según Radunovic, la vulnerabilidad potencial se descubrió en 237 instancias, incluidos 212 casos designados para pruebas y 25 instancias como nodos recién lanzados en el entorno de producción. "Las instancias identificadas en producción constituyen una fracción inferior al 0.1% de los nodos vivos que hemos lanzado hasta la fecha", afirmó Radunovic en un comunicado. La empresa también publicó una entrada en su blog en la que afirmaba que la vulnerabilidad estaba resuelta.
Radunovic también destacó que, en respuesta a la vulnerabilidad, ha realizado revisiones internas y ha hecho que una empresa de seguridad acreditada audite sus sistemas y las políticas de la compañía. La empresa también ha puesto en marcha un programa de recompensas por fallos para animar a terceros a trabajar directamente con ella en los fallos que puedan encontrar.
Aclaración: La información y/u opiniones emitidas en este artículo no representan necesariamente los puntos de vista o la línea editorial de Cointelegraph. La información aquí expuesta no debe ser tomada como consejo financiero o recomendación de inversión. Toda inversión y movimiento comercial implican riesgos y es responsabilidad de cada persona hacer su debida investigación antes de tomar una decisión de inversión