Hechos clave:
- Nueve bugs fueron identificados por usuarios de HackerOne.
- No se detectó ningún caso en que un hacker aprovechara las vulnerabilidades de Monero.
Nueve vulnerabilidades o bugs (en lenguaje informático) fueron descubiertos recientemente en el sistema de la criptomoneda enfocada en la privacidad, Monero (XMR). Entre ellos, uno que permitía enviar transacciones falsas a las carteras de Monero. Los bugs fueron reportados y solucionados gracias a usuarios de HackerOne.
La falla principal, descrita en un largo reporte, implica que al minar un bloque especial y vulnerable, el hacker habría sido capaz de enviar transacciones falsas a carteras de Monero, por cualquier monto en XMR. Ello le permitiría al atacante transferir XMR falsificados a carteras en casas de cambio de criptomonedas, y una vez acreditado el saldo, convertirlo en otras criptomonedas y retirarlo.
Según otro reporte de un usuario de HackerOne, plataforma que ofrece soluciones de seguridad informática, el sistema estuvo expuesto a ataques a través de vectores de denegación de servicio (DoS por sus siglas en inglés). En uno de los casos, el bug permitía a un remitente de Monero estafar al destinatario, al enviar transacciones con informes erróneos de la cantidad recibida. El error era capaz de mostrar un monto hasta ocho veces superior a la cantidad real enviada.
Otro fallo similar, recogido también en un reporte adicional, se relaciona con CryptoNote. Este protocolo, usado por Monero como capa de privacidad, tendría un fallo base que hace a la plataforma susceptible de ataques DoS, capaces de derribar sus nodos de red.
Como en el caso de los otros fallos, se trata de riesgos hipotéticos, y el respectivo parche fue creado para solucionarlos. Sin embargo, Monero no es la única plataforma en peligro, ya que todas sus versiones, hasta la reciente v0.14.0.2, presentaban la vulnerabilidad. En este sentido, todas las plataformas que funcionan con CryptoNote pueden verse en riesgo.
Estas eran las condiciones de seguridad del sistema hasta el mes de marzo, a partir del cual se solucionaron los fallos mencionados. Los bugs fueron descritos como «pruebas de concepto», lo que implica que dichas vulnerabilidades latentes en el sistema, no fueron explotadas. Existieron, por lo tanto, solo en términos de posibilidad.
Esto sucede menos de un año después de que el proyecto confrontara una situación de riesgo parecida. En septiembre de 2018, fue lanzado un parche para un bug hallado en el código de la blockchain de Monero, el cual permitía extraer dinero de las carteras de los usuarios en casas de cambio. Afortunadamente, tampoco entonces se registró ningún caso de aprovechamiento de la vulnerabilidad del sistema.
En cualquier caso, dEBRUYNE, desarrollador de Monero, enfatizó en aquel momento que las vulnerabilidades descubiertas son un recordatorio de que la criptomoneda y su software correspondiente está aún en etapa infantil, y son susceptibles de fallos críticos imprevistos.
