Un nuevo robo de Ethereum alcanza los 32 millones de dólares

Virus

Hace dos días recogíamos que un atacante había conseguido robar 8 millones de dólares en Ethereum con un sencillo hack, cambiando una dirección de pago por otra en una página web. Ahora, ese robo queda casi en nada después de que otro robo haya conseguido cuatro veces más dinero.

153.000 ether robados por culpa de un fallo en Parity

Este robo se ha producido en Parity, un cliente de Ethereum lanzado en enero de 2017. Gavin Wood, su fundador, ha comentado que el culpable detrás de este fallo es una vulnerabilidad crítica en Parity, que ha provocado que tres cuentas hayan sido accesibles para un hacker, que ha conseguido robar en torno a 32 millones de dólares en Ethereum (unos 153.000 ETH). Actualmente, este dinero está almacenado en esta dirección de Ethereum, de la cual ya se han extraído algunos fondos aunque mantiene la mitad del dinero robado.

ethereum-robo-32-millones

La vulnerabilidad se encontraba al contrato usado para crear monederos de Ethereum con varias firmas en Parity 1.5, la última versión disponible. Estos monederos permitían a varias personas controlar llaves criptográficas que les permitía sacar Ethereum del monedero si la mayoría de usuarios que tenían las claves autorizaban la transacción. Así, Gavin Wood ha alertado a todos los usuarios que usaran este sistema que pasasen sus monedas a una cuenta segura. Actualmente, se encuentran trabajando en recuperar y asegurar los fondos perdidos, pero será una tarea difícil.

Además, también están comprobando la seguridad del resto de cuentas para evitar otro ataque similar a este. Aunque se han mencionado tres principales cuentas afectadas, no descartan que haya otras afectadas, así como otras han podido ser vaciadas de manera preventiva y sean posteriormente devueltas.

Uno de los mayores robos de Ethereum de los que se tiene registro

Estas cuentas han sido vaciadas aprovechando la misma vulnerabilidad que el atacante, pero está siendo controlado por “The White Hat Group”, que actualmente almacena un 377.105 ether, equivalentes a 77,5 millones de dólares. Este grupo está, al parecer, formado por investigadores de seguridad y miembros del Ethereum Project que se han tomado la molestia de asegurar el mayor número de cuentas posible.

ethereum

Según afirma Manual Arazo, cofundador del sistema de contratos de Zeppelin Solutions, muchos más monederos están afectados, y no saben si el ataque ha sido realizado por los “buenos” o por los “malos”. Un usuario en Reddit afirma que han desaparecido los 74 ether que tenía en su cuenta (valoras en unos 15.000 dólares).

Después del ataque, Ethereum ha caído en torno a un 15%, pasando de 230 dólares a los 200 dólares. Actualmente, se está trabajando en una solución al fallo de seguridad, que afirman ha aprovechado la vulnerabilidad presente en este código.

Este ataque se sitúa como uno de los más grandes de la historia de Ethereum, probablemente el único por detrás del que se produjo hace dos años donde se robaron unos 53 millones de dólares, lo cual obligó a dividir la moneda en dos y devolver los fondos robados a los usuarios afectados, pues la proporción era mucho mayor que en la actualidad.

Escrito por Alberto García

Fuente > Bleeping Computer