Hechos clave:
-
La falla se halló en un contrato inteligente de la red para el canje de tokens.
-
Hasta 20 cuentas fueron vulnerables a ataques entre el 11 y 12 de septiembre.
La plataforma para el intercambio de tokens sobre Ethereum, AirSwap, informó que fue detectada una vulnerabilidad en un contrato inteligente que permitía, a cualquier atacante, realizar canjes sin requerir la firma de su contraparte. La startup indicó que el código afectado se mantuvo en su red menos de 24 horas, lo que afectó hasta 20 cuentas entre el 11 y el 12 de septiembre.
“El 12 de septiembre nuestros procesos de revisión de seguridad interna identificaron una potencial vulnerabilidad en un contrato inteligente lanzado recientemente. La vulnerabilidad le permitiría a un atacante, bajo ciertas condiciones, realizar un intercambio sin requerir la firma de una contraparte. El código afectado estuvo presente en el sistema AirSwap durante menos de 24 horas y solo afecta a algunos usuarios de AirSwap Instant”, señaló la empresa.
En total, el error afectó a 20 cuentas y 10 de ellas se mantenían en potencial riesgo. AirSwap habilitó un sitio web para que los usuarios revocaran las autorizaciones relacionadas con el contrato inteligente involucrado. Como medida de resguardo, AirSwap contactó a los operadores y aplicó un código de explotación para drenar los fondos, que estuvieran vulnerables, a un contrato de retiro al que solo pueden tener acceso los propietarios de los tokens drenados.
Vulnerabilidad controlada
La vulnerabilidad reportada por AirSwap ocurre 20 días después que lanzara la herramienta AirSwap Trader, una opción de intercambio para comerciantes de operaciones extrabursátiles (over the counter u OTC). Tanto las opciones Instant como Trader ya no se ven afectadas por la falla, según indicó la compañía.
AirSwap presta un servicio descentralizado que ejecuta intercambios P2P con tokens de la blockchain de Ethereum. No funciona como una casa de cambio de criptomonedas o tokens tradicional. Los poseedores del token AST son los que deciden qué activos están disponibles en la red de acuerdo a los términos de uso.
En este punto hay que mencionar que un contrato inteligente no es más que un programa informático en el que sus términos establecidos se cumplen de forma automática, una vez que las partes involucradas han acordado las condiciones.
La vulnerabilidad de AirSwap se presenta luego que otras dos fallas fueran reportadas recientemente en el ecosistema de las criptomonedas. El pasado martes 10 de septiembre se informó sobre una vulnerabilidad explotada en la red Lightning Network de Bitcoin. Mientras que el 15 de agosto BTCPay informó sobre una potencial falla que podía dar acceso a su servidor.
Al momento de escribir este artículo la cotización del token AST era de 0.026558 dólares estadounidenses, según el portal CoinMarketCap, lo que refleja un auge de 10,53% en las últimas 24 horas.