Hechos clave:
-
El fraude se llevó a cabo en siete ciudades canadienses.
-
Los cajeros automáticos permitían transacciones con 0 confirmaciones.
La policía de Calgary, una ciudad de Canadá, registró un total de 112 transacciones fraudulentas realizadas a cajeros automáticos de bitcoins (ATM) en septiembre del 2018, las cuales permitieron a los estafadores sustraer 198.000 dólares en criptomonedas.
Hoy en día la policía está tras la pista de cuatro hombres de origen canadiense que supuestamente se habrían organizado para llevar a cabo una estafa de transacciones de doble gasto en cajeros de bitcoins de siete ciudades de Canadá, destacando entre ellas Calgary, que fue el territorio más afectado, según una información difundida el día 12 de marzo.
Las 112 transacciones fraudulentas fueron realizadas en un período de 10 días en el mes de septiembre del 2018, siendo su valor promedio de 1.800 dólares por operación. Asimismo, las autoridades canadienses afirman que todos los cajeros afectados permitían realizar transacciones con 0 confirmaciones, vulnerabilidad que fue explotada por los criminales para llevar a cabo varias operaciones con criptoactivos, que incluso podían ser canceladas de forma remota, de modo que nunca realizaban el gasto aunque recibían el pago.
Los cajeros automáticos de bitcoins que permiten operaciones con 0 confirmaciones de la red han sido denunciados en varias oportunidades por su exposición a ataques de doble gasto. Debido a que una confirmación de la red puede tardar unos cuantos minutos e incluso horas, algunos operadores de ATM deciden permitir la venta o compra de BTC sin que la red de mineros haya verificado la transacción, por lo cual los criminales pueden utilizar esta opción a su favor y sobregirar dinero que ya ha sido utilizado.
No obstante, investigadores periodísticas de la industria también han denunciado que los estafadores no sólo se han beneficiado de la falta de confirmación en los cajeros, sino también de una herramienta del protocolo de Bitcoin llamada “Replace-by-fee” o mejor conocida por sus siglas RBF, propuesta por el desarrollador de Bitcoin Core, Peter Todd, hace cinco años atrás y recientemente implementada en la red para disminuir la congestión de Bitcoin.
Replace-by-fee permite que, si una transacción se encuentra atrasada en la red o no ha sido confirmada por los mineros después de algún tiempo, el propietario puede remplazar dicha transacción por otra con una tarifa mucho mayor. En este sentido, la herramienta ayuda a la escalabilidad de la red y evita que muchas transacciones se apilen en espera de confirmación. Sin embargo, la herramienta tiene una vulnerabilidad conocida, según Igor Korsakov, que se puede utilizar para realizar transacciones de doble gasto si el operador no espera por lo menos dos confirmaciones para aceptar dicho pago, aunque no hay suficientes pruebas de que el método descrito por el editor de Bluewallet se haya utilizado alguna vez.
El atacante puede realizar una primera transacción normal a una dirección A con las salidas OP-Return o multisig alteradas, lo que permite que los mineros no acepten dicha transacción, y luego remplazarla con otra transacción con una tarifa mayor y enviarla a otro destinatario, pagando una sola transacción con el mismo dinero. Pero, es importante aclarar que esto sólo se puede llevar a cabo si los operadores no esperan las confirmaciones de los mineros.
Peter Todd, el desarrollador que propuso la incorporación de RBF en la red de Bitcoin, tuiteó sobre este incidente en los cajeros de bitcoins en Canadá, afirmando que la vulnerabilidad no recaía en el protocolo de Bitcoin, sino en los operadores de cajeros que no esperan las confirmaciones de los mineros para una transacción verdaderamente segura.
It's unfortunate that this article doesn't mention the negligence of the ATM operator: they were accepting completely insecure zeroconf transactions. Readers will probably think this is a new flaw in Bitcoin.
CC: @globalnews You should fix your story.https://t.co/ooCXKiLeu0
— Peter Todd (@peterktodd) March 13, 2019
La red social Reddit también se encuentra encendida en discusiones acerca de dónde recae la responsabilidad de esta vulnerabilidad. Un usuario, identificado como MiyamoyoMustashi, considera que la implementación del RBF vulnera a Bitcoin, ya que expone a los comerciantes y usuarios a este tipo de ataques de doble gasto que ya había sido solucionado por la red.
Por otro lado, usuarios de la misma red social destacaron que ningún comerciante debe aceptar transacciones sin confirmar, ya que esto va en contra de lo recomendado en la blockchain desde sus inicios. Asimismo, afirmaron que para que el comercio minorista pueda disfrutar de pagos rápidos y seguros con bitcoin deberán implementar la Lightning Network, la red de micropagos de Bitcoin.
Uno de los primeros robos a cajeros automáticos de bitcoins registrados en la comunidad ocurrió en la ciudad de Atlanta, en los Estados Unidos, en el año 2016. En la actualidad, los robos a cajeros de bitcoins no son tan comunes, ya que proliferan toda clase estafas en la Web para hacerse con unas cuantas criptomonedas. Pero para entender la envergadura de esta reciente estafa en Canadá hay que tomar en cuenta que el país de Norte América es uno de los que posee más ATM de Bitcoin en el mundo, con 689 cajeros activos, de los cuales 45 pertenecen a la ciudad de Calgary.
Actualización: El texto ha sido modificado para eliminar una afirmación ambigua. El texto sugería que es posible realizar doble gasto a través de Replace-by-fee. En la primera versión había un enlace que conduce a la fuente de esta afirmación. Sin embargo, no se mencionó a la persona que publicó uno de los textos explicativos del procedimiento. La corrección sirve para agregar el nombre de la fuente y para indicar que no hay suficiente evidencia de que se pueda realizar doble gasto a través del RBF.
Imagen destacada por kaninstudio / stock.adobe.com
