-
Los participantes de ciertas transacciones eran totalmente visibles para cualquiera.
-
Los desarrolladores piden a los usuarios actualizar su wallet de manera urgente.
Monero, una criptomoneda que tiene a la privacidad como aspecto central, ha enfrentado un problema significativo que afectó justamente esta propiedad de la red durante tres años. Los desarrolladores de Monero descubrieron recientemente un bug (falla) en su algoritmo de selección de señuelos que comprometió la confidencialidad de las transacciones. Piden a los usuarios actualizar sus wallets con urgencia.
Según los reportes de los desarrolladores, el bug afectó a las versiones de la billetera GUI/CLI desde v0.13.0.0 hasta v0.18.2.1 y tuvo un impacto severo en la privacidad de las transacciones. Durante este tiempo, los usuarios de Monero podrían haber perdido su anonimato como remitentes al realizar transacciones con fondos de 10 bloques de antigüedad.
En Monero, los señuelos, también conocidos como ring members, son las transacciones antiguas utilizadas como distracción en las transacciones actuales. Estos señuelos se seleccionan para ocultar la verdadera entrada de fondos en una transacción y aumentar la privacidad del remitente.
La vulnerabilidad hallada se originó en el código del selector gamma, utilizado para elegir señuelos en las transacciones de Monero. Debido a un error de desplazamiento, el selector gamma no podía elegir señuelos que tuvieran exactamente 10 bloques de antigüedad. Esto permitía a un observador externo deducir con alta probabilidad cuál era el gasto real en un anillo de entrada si uno de los miembros del anillo tenía exactamente 10 bloques de antigüedad.
Para solucionar este problema, se lanzó la actualización de la wallet v0.18.2.2 a principios de abril, que resuelve la falla y protege la privacidad de los usuarios de Monero. El equipo desarrollador de la red pidió a todos los usuarios de Monero actualizar sus wallets a esta versión lo antes posible.
Además, se sugiere a los usuarios de wallets de terceros que verifiquen si sus desarrolladores han actualizado el código de la wallet al nuevo «wallet2» de Monero Core. Al actualizar, no solo se mejora el anonimato de los remitentes individuales, sino que también se aumenta el grupo de anonimato para todos los usuarios, incluidos aquellos que aún utilizan versiones vulnerables anteriores.
Una falla que afectó una característica esencial en Monero
Como se explica en la Criptopedia, sección educativa de CriptoNoticias, Monero es una red que se enfoca en conservar la privacidad de sus usuarios al hacer operaciones en ella. Para eso, emplea una serie de funcionalidades que permiten firmar una transacción sin revelar las direcciones de los participantes ni los montos involucrados.
Por eso, el hecho de que un bug haya afectado a la privacidad y que se descubra la falla tanto tiempo después es un golpe fuerte para su comunidad de usuarios. De hecho, los propios desarrolladores admiten que «el fallo se descubrió por accidente al intentar solucionar un bucle while infinito durante la selección del señuelo».
Algunos usuarios manifestaron su opinión en los comentarios de la publicación de los desarrolladores en github. Por ejemplo, janowitz cuestionó que no se haya publicado la vulnerabilidad antes, teniendo en cuenta que la última versión de la wallet se lanzó hace casi dos meses y se podría haber advertido a más usuarios sobre este problema. Además, pidió «saber cuántas transacciones se vieron afectadas en total (…) el fallo lleva ahí casi cuatro años».