Este jueves 28 de junio, la firma de ciberseguridad china SlowMist hizo pĆŗblico, a travĆ©s de su cuenta en la red social Twitter, el hallazgo de una vulnerabilidad de doble gasto al realizar operaciones con el criptoactivo tether (USDT) en una casa de cambio en especĆfico.
Los analistas de SlowMist detectaron, en una casa de cambio de criptomonedas que no fue identificada, una falla en la verificaciĆ³n de validez de una transacciĆ³n de USDT. De acuerdo con la informaciĆ³n divulgada por la firma, en la cuenta de un usuario fue posible acreditar USDT aun cuando la transacciĆ³n fallĆ³ por contener datos incorrectos.
El ādoble gastoā se produce cuando la transacciĆ³n con los datos correctos tambiĆ©n se confirma y este usuario queda en libertad de comerciar con estos tokens. A causa de esto, SlowMist recomendĆ³ a la casa de cambio en cuestiĆ³n que suspendiera las funciones involucradas en la confirmaciĆ³n de transacciones con USDT, hasta que fuese corregida esta falla.
No obstante, poco tiempo despuĆ©s de conocerse esta informaciĆ³n, el fundador deĀ OmniLayer (empresa encargada del protocoloĀ sobre el cual se ejecuta Tether) publicĆ³ una respuestaĀ en Reddit donde explica queĀ el error es producto de āuna integraciĆ³n pobreā por parte de la casa de cambio.
Parece que lo que sucediĆ³ aquĆ es que una casa de cambio no estaba verificando la marca vĆ”lida en las transacciones. Aceptaron una transacciĆ³n con āvalid = falseā (que no deberĆan tener), y luego la segunda transacciĆ³n, el Ā«doble gastoĀ», tuvo āvalid = trueā, que tambiĆ©n aceptaron. A menos que me estĆ© faltando algo, esto es solo una integraciĆ³n pobre de la casa de cambio.
dacoinminster
Fundador
Por su parte, OKEx y Poloniex, unas de las casas de cambio mĆ”s reconocidas del ecosistema, tambiĆ©n reaccionaron ante el anuncio de esta falla. A travĆ©s de su pĆ”gina de soporte, OKEx confirmĆ³ que, luego de una serie de exĆ”menes pertinentes, pudieron comprobar que las transacciones con USDT en su plataforma eran seguras. Ā«Somos conscientes de la vulnerabilidad con el depĆ³sito USDT. Y confirmamos que OKEx NO estĆ” expuesto a la vulnerabilidadĀ» expresaron en su comunicado. Mientras que Poloniex hizo uso de su cuenta oficial en Twitter para hacer saber a sus usuarios que, ademĆ”s de estar al tanto de la vulnerabilidad, ellos Ā«realizan la validaciĆ³n apropiadaĀ» para evitar su exposiciĆ³n ante fallas como el doble gasto.
We are aware of the vulnerability with USDT. We can confirm that @Poloniex does proper validation against double spend deposits to prevent exposure to this type of vulnerability.
— Poloniex Exchange (@Poloniex) June 29, 2018
Luego de horas de debate entre miembros de la criptocomunidad en cuanto al tema, SlowMist hizo una salvedad muy importante para poder llegar a una conclusiĆ³n al final. Como respuesta al mismo tuit donde hicieron la denuncia de la falla, el equipo de esta firma comentĆ³ que: Ā«Esta vulnerabilidad no es una vulnerabilidad propia de USDT, sino de una plataforma de intercambio cuya base de datos no verifica estrictamente el estatus del parĆ”metro Ā«validĀ».
Es importante destacar que no se encontraron reportes de usuarios afectados por este error, ni de alguna alteraciĆ³n en la comercializaciĆ³n del USDT en las casas de cambio. En todo caso es positivo que haya sido detectado el problema, para que los involucrados puedan tomar las acciones necesarias para resolverlo.
Imagen destacada por: STUDIO GRAND OUEST / stock.adobe.com