Un hacker de sombrero blanco alertó sobre la vulnerabilidad, que podría haber derivado en la pérdida de unos USD $200 millones en criptomonedas para Polkadot.
***
- Hacker ético alertó sobre vulnerabilidad en parachains de Polkadot
- El error ponía en riesgo los ecosistemas de Moonbeam, Astar y Acala
- Se generó un parche que evitó la pérdida de USD $200 millones
- El informante se llevó más de 1 millón de dólares de recompensa
Según un informe de The Block, el investigador de seguridad conocido como “pwning.eth” descubrió un error crítico en tres parachains de Polkadot que pudo haber derivado al robo de al menos USD $200 millones en monedas digitales.
La falla se encontró en Frontier, un software utilizado para “envolver” tokens nativos en los proyectos de cadena de bloques de Polkadot, (mejor conocidos como parachains o paracadenas) y afectaba directamente a tres parachains compatibles con Ethereum en la red Polkadot: Moonbeam, Astar Network y Acala, según el reportaje
De haber sido aprovechada por un actor malicioso, podría haber tenido un impacto ampliamente negativo en todo el ecosistema de Polkadot. De acuerdo con The Block, se podría haber abusado de la vulnerabilidad en las tres parachains para acuñar tokens envueltos ilimitados, incluido WASTR en Astar, WGLMR en Moonbeam y WMOVR en Moonriver, una red hermana de Moonbeam.
USD $200 millones se salvan de ser robados Para fortuna de la comunidad de Polkadot, pwning.eth pudo detectar y alertar sobre el error a tiempo. El investigador informó sobre la vulnerabilidad crítica en Immunefi, una plataforma de búsqueda de errores enfocada en criptomonedas, a finales de junio; aunque el caso se hizo público recientemente.
Un representante de Immunefi conversó con The Block sobre el suceso:
Pwning.eth encontró un error que afectó a todo el ecosistema de Polkadot y permitiría a los piratas informáticos robar más de 200 millones de dólares en Moonbeam, Astar Network y Acala. Todos eran vulnerables a un error que podría haber permitido a los usuarios maliciosos acuñar tokens nativos envueltos.Cabe señalar que un token “envuelto” es esencialmente intercambiar un activo criptográfico por otro en una cantidad igual a través de un contrato inteligente, o código en la Blockchain que puede almacenar y enviar fondos. Este proceso permite a los usuarios utilizar tokens nativos de una cadena de bloques en otra distinta, creando así una suerte de puente entre ambos ecosistemas.
Después de que se informara sobre la vulnerabilidad, los tres equipos de las respectivas parachains trabajaron para solucionarlo y lanzaron un parche de emergencia antes de que cualquier actor malicioso tuviera chance de explotarlo. No se perdieron fondos.
El informante, por su parte, salió enormemente beneficiado. Según el informe, pwning.eth recibió una recompensa de USD $1 millón por parte de Moonbeam y Astar, que tienen programas activos de recompensas por errores con Immunefi. Como si fuera poco, recibió otros USD $250.000 adicionales por parte de Parity, desarrollador de Frontier Library.
Hackers éticos son recompensados generosamente No es la primera experiencia del investigador encontrando errores críticos en proyectos de criptomonedas y recibiendo recompensas millonarias. Como recuerda The Block, pwning.eth ya se había asegurado USD$ 6 millones el año pasado por descubrir una vulnerabilidad en Aurora, una cadena de bloques de NEAR, lo que salvó en ese momento poco más de USD $210 millones.
Este está lejos de ser el primer caso en que un hacker ético o de sombrero blanco, como también se les conoce, alerta sobre una vulnerabilidad crítica y obtiene dinero a cambio de su labor. Si bien el ecosistema cripto está constantemente al acecho de atacantes maliciosos, también hay expertos que se dedican a hallar errores a modo de evitar robos.
En 2022, los hackers éticos de criptomonedas ganaron poco más de USD $50 millones en recompensas por el programa de Immunefi, siendo la más alta una de USD $10 millones por una vulnerabilidad descubierta en Wormhole, según recogió The Block en un artículo previo. Durante el mismo año, los ataques de piratería cripto acumularon unos 3 mil millones de dólares.
Lecturas recomendadas
- OpenSea pagó USD $200.000 a dos hackers éticos por alertar sobre vulnerabilidades críticas
- Un hacker sustrajo USD $10 millones a protocolo DeFi Moola, pero luego devolvió casi todo
- Hacker explotó un protocolo DeFi por USD $1 millón, pero olvidó llevarse el botín
Artículo de Hannah Estefanía Pérez / DiarioBitcoin
Imagen de Unsplash
