-
La falla se hallรณ en un contrato inteligente de la red para el canje de tokens.
-
Hasta 20 cuentas fueron vulnerables a ataques entre el 11 y 12 de septiembre.
La plataforma para el intercambio de tokens sobre Ethereum, AirSwap, informรณ que fue detectada una vulnerabilidad en un contrato inteligente que permitรญa, a cualquier atacante, realizar canjes sin requerir la firma de su contraparte. La startup indicรณ que el cรณdigo afectado se mantuvo en su red menos de 24 horas, lo que afectรณ hasta 20 cuentas entre el 11 y el 12 de septiembre.
โEl 12 de septiembre nuestros procesos de revisiรณn de seguridad interna identificaron una potencial vulnerabilidad en un contrato inteligente lanzado recientemente. La vulnerabilidad le permitirรญa a un atacante, bajo ciertas condiciones, realizar un intercambio sin requerir la firma de una contraparte. El cรณdigo afectado estuvo presente en el sistema AirSwap durante menos de 24 horas y solo afecta a algunos usuarios de AirSwap Instantโ, seรฑalรณ la empresa.
En total, el error afectรณ a 20 cuentas y 10 de ellas se mantenรญan en potencial riesgo. AirSwap habilitรณ un sitio web para que los usuarios revocaran las autorizaciones relacionadas con el contrato inteligente involucrado. Como medida de resguardo, AirSwap contactรณ a los operadores y aplicรณ un cรณdigo de explotaciรณn para drenar los fondos, que estuvieran vulnerables, a un contrato de retiro al que solo pueden tener acceso los propietarios de los tokens drenados.
Vulnerabilidad controlada
La vulnerabilidad reportada por AirSwap ocurre 20 dรญas despuรฉs que lanzara la herramienta AirSwap Trader, una opciรณn de intercambio para comerciantes de operaciones extrabursรกtiles (over the counter u OTC). Tanto las opciones Instant como Trader ya no se ven afectadas por la falla, segรบn indicรณ la compaรฑรญa.
AirSwap presta un servicio descentralizado que ejecuta intercambios P2P con tokens de la blockchain de Ethereum. No funciona como una casa de cambio de criptomonedas o tokens tradicional. Los poseedores del token AST ย son los que deciden quรฉ activos estรกn disponibles en la red de acuerdo a los tรฉrminos de uso.
En este punto hay que mencionar que un contrato inteligente no es mรกs que un programa informรกtico en el que sus tรฉrminos establecidos se cumplen de forma automรกtica, una vez que las partes involucradas han acordado las condiciones.
La vulnerabilidad de AirSwap se presenta luego que otras dos fallas fueran reportadas recientemente en el ecosistema de las criptomonedas. El pasado martes 10 de septiembre se informรณ sobre una vulnerabilidad explotada en la red Lightning Network de Bitcoin. Mientras que el 15 de agosto BTCPay informรณ sobre una potencial falla que podรญa dar acceso a su servidor.
Al momento de escribir este artรญculo la cotizaciรณn del token AST era de 0.026558 dรณlares estadounidenses, segรบn el portal CoinMarketCap, lo que refleja un auge de 10,53% en las รบltimas 24 horas.
