Hechos clave:
-
La vulnerabilidad fue detectada en el contrato de intercambio 0x v2.0.
-
0x informó que los fondos de los usuarios no estuvieron en riesgo.
Una vulnerabilidad detectada en el contrato inteligente de intercambio de la casa de cambio descentralizada (DEX, por sus siglas en inglés) 0x, obligó a sus desarrolladores a realizar un cierre de emergencia de las operaciones de comercio dentro de la plataforma. El proyecto 0x publicó una entrada en su blog la noche de este viernes 12 de julio, para explicar la situación a sus usuarios.
Según el comunicado, firmado por Will Warren, cofundador de 0x Project, un investigador de seguridad externo informó sobre un bug en el contrato inteligente del intercambio de 0x v2.0. La vulnerabilidad permitiría a un atacante llenar ciertas órdenes con firmas inválidas. Como medida de precaución, para evitar que la vulnerabilidad fuese aprovechada, el equipo del proyecto procedió al cierre de todos los contratos AssetProxy de 0x.
Hemos utilizado el contrato AssetProxyOwner para cerrar el Exchange v2.0 y todos los contratos de AssetProxy para evitar que esta vulnerabilidad sea explotada. Los contratos se cerraron aproximadamente a las 7:45 PM PT. Según nuestro conocimiento, nadie ha explotado esta vulnerabilidad y no se han perdido fondos de usuarios.
Will Warren, cofundador de 0x Project
La afirmación de que los activos ZRX (tokens de 0x) de los usuarios no fueron afectados, fue confirmada en una actualización de la publicación, al final de la noche del viernes. No obstante, señalaron que los contratos inteligentes del servicio de intercambio de 0x ya implementados “no pueden procesar transacciones y no se pueden utilizar”.
El proyecto creó un parche que corrige la vulnerabilidad para los nuevos contratos de intercambios, y señaló que ya están implementado los nuevos contratos AssetProxy en la red principal de Ethereum. Según el anuncio, el proceso sería completado en el transcurso de la noche.
Los detalles de la vulnerabilidad no fueron revelados. El equipo espera dar más detalles una vez que se aseguren de que ningún otro contrato inteligente empleado por la casa de cambio descentralizada 0x, posea otra vulnerabilidad.
El usuario de Twitter James Prestwich, un desarrollador que estuvo reportando el caso a través de su cuenta en la red social, reconoció los esfuerzos del equipo de proyecto 0x, para actualizar los contratos inteligentes afectados.
@0xProject Gonna pour one out for your Friday night engineering team. Cheers 🥂 pic.twitter.com/Xbj31LJ4YB
— James Prestwich (@_prestwich) July 13, 2019
Por su parte, Will Warren, agradeció al investigador de seguridad samczsun, quien descubrió e informó responsablemente la vulnerabilidad y ofreció disculpas a los usuarios en nombre el equipo central del proyecto. “Esperamos discutir este problema con la comunidad en general en los próximos días para garantizar que todas las prácticas de seguridad de contratos inteligentes para el protocolo 0x sean transparentes, rigurosas y estén examinadas por la comunidad”, señaló Warren.