Este jueves 28 de junio, la firma de ciberseguridad china SlowMist hizo público, a través de su cuenta en la red social Twitter, el hallazgo de una vulnerabilidad de doble gasto al realizar operaciones con el criptoactivo tether (USDT) en una casa de cambio en específico.
Los analistas de SlowMist detectaron, en una casa de cambio de criptomonedas que no fue identificada, una falla en la verificación de validez de una transacción de USDT. De acuerdo con la información divulgada por la firma, en la cuenta de un usuario fue posible acreditar USDT aun cuando la transacción falló por contener datos incorrectos.
El “doble gasto” se produce cuando la transacción con los datos correctos también se confirma y este usuario queda en libertad de comerciar con estos tokens. A causa de esto, SlowMist recomendó a la casa de cambio en cuestión que suspendiera las funciones involucradas en la confirmación de transacciones con USDT, hasta que fuese corregida esta falla.
No obstante, poco tiempo después de conocerse esta información, el fundador de OmniLayer (empresa encargada del protocolo sobre el cual se ejecuta Tether) publicó una respuesta en Reddit donde explica que el error es producto de “una integración pobre” por parte de la casa de cambio.
Parece que lo que sucedió aquí es que una casa de cambio no estaba verificando la marca válida en las transacciones. Aceptaron una transacción con “valid = false” (que no deberían tener), y luego la segunda transacción, el «doble gasto», tuvo “valid = true”, que también aceptaron. A menos que me esté faltando algo, esto es solo una integración pobre de la casa de cambio.
dacoinminster
Fundador
Por su parte, OKEx y Poloniex, unas de las casas de cambio más reconocidas del ecosistema, también reaccionaron ante el anuncio de esta falla. A través de su página de soporte, OKEx confirmó que, luego de una serie de exámenes pertinentes, pudieron comprobar que las transacciones con USDT en su plataforma eran seguras. «Somos conscientes de la vulnerabilidad con el depósito USDT. Y confirmamos que OKEx NO está expuesto a la vulnerabilidad» expresaron en su comunicado. Mientras que Poloniex hizo uso de su cuenta oficial en Twitter para hacer saber a sus usuarios que, además de estar al tanto de la vulnerabilidad, ellos «realizan la validación apropiada» para evitar su exposición ante fallas como el doble gasto.
We are aware of the vulnerability with USDT. We can confirm that @Poloniex does proper validation against double spend deposits to prevent exposure to this type of vulnerability.
— Poloniex Exchange (@Poloniex) June 29, 2018
Luego de horas de debate entre miembros de la criptocomunidad en cuanto al tema, SlowMist hizo una salvedad muy importante para poder llegar a una conclusión al final. Como respuesta al mismo tuit donde hicieron la denuncia de la falla, el equipo de esta firma comentó que: «Esta vulnerabilidad no es una vulnerabilidad propia de USDT, sino de una plataforma de intercambio cuya base de datos no verifica estrictamente el estatus del parámetro «valid».
Es importante destacar que no se encontraron reportes de usuarios afectados por este error, ni de alguna alteración en la comercialización del USDT en las casas de cambio. En todo caso es positivo que haya sido detectado el problema, para que los involucrados puedan tomar las acciones necesarias para resolverlo.
Imagen destacada por: STUDIO GRAND OUEST / stock.adobe.com
