Sin resultados
Ver todos los resultados
sábado, septiembre 30, 2023
bloque ₿: 810.097
CriptoNoticias Logo
  • Criptopedia
  • Tutoriales y guías
  • Glosario
    • Acrónimos y frases
  • Reviews
  • Calendario
  • Precios BTC y ETH
Sin resultados
Ver todos los resultados
CriptoNoticias Logo
CriptoNoticias Logo
sábado, septiembre 30, 2023 | bloque ₿: 810.097
Bandera de ARS
BTC 21.673.582,07 ARS 0,40% ETH 1.341.479,92 ARS 0,29%
Bandera de BOB
BTC 187.295,50 BOB 0,49% ETH 11.580,03 BOB 0,19%
Aliado TradingView
Bandera de BRL
BTC 136.499,54 BRL 0,23% ETH 8.436,12 BRL 0,12%
Bandera de CLP
BTC 24.176.086,69 CLP 0,02% ETH 1.510.359,69 CLP 0,57%
Aliado TradingView
Bandera de COP
BTC 109.510.192,30 COP 0,11% ETH 6.805.611,06 COP -0,72%
Bandera de CRC
BTC 14.532.393,72 CRC 0,43% ETH 895.789,40 CRC 0,20%
Aliado TradingView
Bandera de EUR
BTC 25.563,96 EUR 0,49% ETH 1.581,85 EUR 0,20%
Bandera de USD
BTC 27.025,78 USD 0,45% ETH 1.672,44 USD 0,15%
Aliado TradingView
Bandera de GTQ
BTC 212.946,10 GTQ 0,48% ETH 13.159,82 GTQ 0,20%
Bandera de HNL
BTC 669.320,17 HNL 0,33% ETH 41.449,26 HNL -0,12%
Aliado TradingView
Bandera de MXN
BTC 471.064,46 MXN 0,24% ETH 29.179,54 MXN 0,02%
Bandera de PAB
BTC 27.094,45 PAB 0,47% ETH 1.672,45 PAB 0,16%
Aliado TradingView
Bandera de PYG
BTC 197.615.534,30 PYG 0,49% ETH 12.223.728,99 PYG 0,22%
Bandera de PEN
BTC 103.693,19 PEN -0,88% ETH 6.254,10 PEN -0,29%
Aliado TradingView
Bandera de DOP
BTC 1.534.891,25 DOP 0,34% ETH 95.045,45 DOP 0,22%
Aliado TradingView
Bandera de UYU
BTC 1.038.720,58 UYU 0,58% ETH 64.275,58 UYU 0,39%
Aliado TradingView
Bandera de VES
BTC 939.102,45 VES 0,64% ETH 58.385,40 VES -1,89%
Bandera de ARS
BTC 21.673.582,07 ARS 0,40% ETH 1.341.479,92 ARS 0,29%
Bandera de BOB
BTC 187.295,50 BOB 0,49% ETH 11.580,03 BOB 0,19%
Aliado TradingView
Bandera de BRL
BTC 136.499,54 BRL 0,23% ETH 8.436,12 BRL 0,12%
Bandera de CLP
BTC 24.176.086,69 CLP 0,02% ETH 1.510.359,69 CLP 0,57%
Aliado TradingView
Bandera de COP
BTC 109.510.192,30 COP 0,11% ETH 6.805.611,06 COP -0,72%
Bandera de CRC
BTC 14.532.393,72 CRC 0,43% ETH 895.789,40 CRC 0,20%
Aliado TradingView
Bandera de EUR
BTC 25.563,96 EUR 0,49% ETH 1.581,85 EUR 0,20%
Bandera de USD
BTC 27.025,78 USD 0,45% ETH 1.672,44 USD 0,15%
Aliado TradingView
Bandera de GTQ
BTC 212.946,10 GTQ 0,48% ETH 13.159,82 GTQ 0,20%
Bandera de HNL
BTC 669.320,17 HNL 0,33% ETH 41.449,26 HNL -0,12%
Aliado TradingView
Bandera de MXN
BTC 471.064,46 MXN 0,24% ETH 29.179,54 MXN 0,02%
Bandera de PAB
BTC 27.094,45 PAB 0,47% ETH 1.672,45 PAB 0,16%
Aliado TradingView
Bandera de PYG
BTC 197.615.534,30 PYG 0,49% ETH 12.223.728,99 PYG 0,22%
Bandera de PEN
BTC 103.693,19 PEN -0,88% ETH 6.254,10 PEN -0,29%
Aliado TradingView
Bandera de DOP
BTC 1.534.891,25 DOP 0,34% ETH 95.045,45 DOP 0,22%
Aliado TradingView
Bandera de UYU
BTC 1.038.720,58 UYU 0,58% ETH 64.275,58 UYU 0,39%
Aliado TradingView
Bandera de VES
BTC 939.102,45 VES 0,64% ETH 58.385,40 VES -1,89%
Home Seguridad

Vulnerabilidad en carteras de Bitcoin expone a usuarios a ataques de doble gasto

Una falla detectada por ZenGo en ciertas carteras de Bitcoin permitía ataques de doble gasto simples y múltiples, y de denegación de servicio.

por Froilan Fernández
3 julio, 2020
en Seguridad
Tiempo de lectura: 4 minutos
hacker-ataque-rbd-ledger

Hacker con rostro de código. Imagen de Gerd Altmann en Pixabay

FacebookTwitterLinkedinEmail
Hechos clave:
  • Las carteras afectadas podrían reflejar un balance superior al real. 
  • ZenGo notificó a las compañías afectadas sobre la vulnerabilidad hace tres meses. 

Desarrolladores de la cartera de criptomonedas ZenGo revelaron este jueves 2 de julio una vulnerabilidad que exponía a varias carteras de Bitcoin a ataques de doble gasto. Esto pues las carteras reflejaban un incremento de balance por transacciones no confirmadas, que no decrecía cuando las transacciones eran canceladas.

ZenGo señala en su reporte que se trata de un conjunto de vulnerabilidades a las que denomina «BigSpender» y que afecta a carteras de Bitcoin conocidas, entre las cuales menciona a Ledger Live, BRD y Edge. Estas vulnerabilidades «pueden exponer a los usuarios a ataques de gastos dobles y múltiples (de allí el nombre BigSpender) y potencialmente impedir que gasten su balance», dice el reporte.

También te podría interesar
Bitcoin.
Bitcoin, la primera y última stablecoin
30 septiembre, 2023
Phoenix Wallet y bitcoin con Lightning
Phoenix Wallet mejora el uso de Lightning para usuarios con iOS
30 septiembre, 2023

El riesgo de doble gasto

La principal vulnerabilidad que aprovecha BigSpender, según ZenGO, es que las carteras vulnerables no estaban preparadas para la opción de que una transacción pueda ser cancelada a través de la funcionalidad Replace by Fee (RBF) -explicada más abajo- e implícitamente asumían que sería finalmente confirmada.

Una de las consecuencias de esta falla es que el balance de la cartera aumenta con una transacción entrante no confirmada. Aún si la transacción es cancelada, en la cartera vulnerable no se refleja la cancelación y el balance queda falsamente aumentado.

Aprovechando esta falla, los potenciales atacantes pueden enviar a la víctima potencial una transacción con comisiones mínimas, para retrasar la confirmación de esta. Solicitarían bienes o servicios a cambio de los fondos enviados y cancelarían inmediatamente la transacción. Las carteras vulnerables no restituirían el balance de acuerdo a la cancelación y este quedaría reflejando un valor mayor que el real.

Si el receptor de la transacción entrega el producto correspondiente, habría sido robado sin advertirlo, por la falla de su cartera.

Cancelación de transacciones

Para que el atacante pueda cancelar una transacción, la envía con comisiones mínimas y la marca como reemplazable. La primera condición garantiza que dicha transacción demorará en ser confirmada, mientras que la segunda condición permite reemplazar la primera transacción por otra que envíe las mismas monedas, pero con comisión mayor –para acelerar su confirmación-. Este método es posible gracias al protocolo Replace by Fee o RBF.

El atacante coloca como salida de esa segunda transacción, otra dirección diferente a la de la cartera de la víctima potencial. Al ser confirmada esta, la primera transacción enviada queda anulada. Usando RBF, se envían los fondos a una dirección diferente de la original, pero que esté bajo control del atacante.

Tanto los desarrolladores de carteras como los usuarios deben asegurarse de que su cartera haga un manejo adecuado de las transacciones RBF, señala ZenGo. Los usuarios deben comprobar que una transacción está confirmada antes de entregar cualquier producto o servicio, mientras que los desarrolladores deben asegurarse de que las transacciones pendientes no incrementen el balance de la cartera antes de que estén confirmadas.

Otras modalidades de los ataques

Una segunda modalidad de este ataque consistía en hacerlo repetitivo para inflar artificialmente el balance que refleja la cartera vulnerable y poder reclamar más bienes o servicios. Un atacante podría, con 10 dólares en saldo, realizar un gasto por un producto de hasta mil dólares.

Aun si la víctima advierte que está siendo atacada y no entrega ningún producto a cambio de los supuestos fondos recibidos, aún puede ser víctima de un tercer tipo de ataque, similar a una denegación de servicio.

En este escenario, como la cartera tiene el balance incorrecto fallaría en algunas acciones, por ejemplo, en la función “Enviar todos los fondos”. También habría fallas cuando la cartera intente extraer fondos de una transacción no existente, refiere ZenGo.

Protección ante el ataque

Como protección y mitigación, desde ZenGo recomiendan a los usuarios utilizar solo carteras que manejen las transacciones marcadas con RBF de manera correcta, es decir, sin reflejar el saldo antes de la confirmación.

En caso de usar una cartera vulnerable, el usuario debe verificar en un explorador de bloques que la transacción haya sido confirmada antes de entregar cualquier bien o servicio.

Los desarrolladores, por su parte, deben verificar el comportamiento de sus aplicaciones respecto a cancelaciones y transacciones con RBF. Un correctivo podría ser colocar las transacciones pendientes aparte de las confirmadas y no sumarlas al balance total antes de que todo esté en orden. Si la transacción es cancelada, esto debe reflejarse en el historial de transacciones del usuario.

Para contribuir a la corrección de la solución, ZenGo puso a disposición de los desarrolladores una herramienta en su GitHub.

En la tabla siguiente aparecen los detalles de las carteras vulnerables respecto a los tres ataques y las nuevas versiones de las mismas que corrigen la vulnerabilidad.

doble gasto carteras bitcoin
Ya las actualizaciones vigentes de BRD y Ledger Live corrigen la vulnerabilidad reportada. Fuente: ZenGo

Como se aprecia en la tabla, las carteras BRD y Ledger Live cuentan con nuevas versiones que resuelven las fallas detectadas, mientras que la cartera Edge continúa con la vulnerabilidad básica, si bien se encuentra en proceso de corrección. Se recomienda a los usuarios actualizar a las últimas versiones para protegerse de la vulnerabilidad.

CriptoNoticias reportó que en diciembre pasado el equipo de Kraken Security Labs encontró una vulnerabilidad grave en las carteras frías de criptomonedas KeepKey, que les permitió extraer semillas, con solo tener acceso físico a la billetera durante aproximadamente 15 minutos. Los analistas de Kraken Security Labs señalaron que, para identificar la vulnerabilidad, realizaron un ataque de falla de voltaje o voltage glitching mediante el cual lograron extraer la semilla encriptada.

Etiquetas: Bitcoin (BTC)CarterasDestacadosDoble gasto
Artículo previo

BIS insta a bancos centrales a crear sus propios bitcoin para enfrentar efectos del COVID

Siguiente artículo

¿Cómo empresas de vigilancia ganan millones espiando la blockchain de Bitcoin?

Relacionados Artículos
Hacker de FTX y ethereum.
Seguridad
Hacker de FTX mueve 6.250 ETH tras meses de inactividad
por Fernando Clementín
30 septiembre, 2023

En noviembre de 2022, este atacante había robado más de USD 600 millones del exchange FTX, que había quebrado días...

Hacker, HTX y ethereum
HTX Global sufre hackeo con pérdida de 5.000 ETH
25 septiembre, 2023
Hacker, dólares y Mixin Network
Mixin Network sufre pérdidas de USD 200 millones en un hackeo
25 septiembre, 2023
Una entidad desconocida realizó un epósito de tokens falsos en Upbit. Fuente: PX Media / Adobe Stock
Upbit validó un depósito fraudulento multimillonario
24 septiembre, 2023
OpenSea es una plataforma para la compraventa de NFT. Composición por CriptoNoticias. Production Perig/ stock.adobe.com; OpenSea/opensea.org
Usuarios de OpenSea están expuestos a una nueva brecha de seguridad
24 septiembre, 2023
Siguiente artículo
espiando-empresa

¿Cómo empresas de vigilancia ganan millones espiando la blockchain de Bitcoin?

Aprende

  • Qué es Bitcoin
  • Qué son las criptomonedas
  • Minería de Bitcoin
  • Qué es Ethereum
  • Qué es una blockchain
  • Criptopedia

De interés

  • Reviews
  • Tutoriales
  • Opinión
  • Eventos
  • Precios BTC y ETH

Empresarial

  • Acerca de
  • Nuestro equipo
  • Trabaja con nosotros
  • Política de privacidad
  • Política publicitaria
  • Mapa del sitio

Publicidad

  • Contáctanos
  • Anúnciate
  • Advertise

© 2023 Hecho con ♥ por Latinos.

Sin resultados
Ver todos los resultados
  • Inicio
  • ¿Qué es Bitcoin?
  • Precios BTC y ETH
  • Noticias
    • Mercados
    • Minería
    • Regulación
    • Tecnología
    • Seguridad
    • Comunidad
      • Adopción
      • Análisis e Investigación
      • Educación
      • Entretenimiento
      • Eventos
      • Ficción
    • Negocios
      • Judicial
      • Finanzas
    • Opinión
      • Editorial
      • Entrevistas
  • Criptomonedas
    • Bitcoin (BTC)
    • Ethereum (ETH)
  • Países
    • Argentina
    • Colombia
    • El Salvador
    • España
    • México
    • Venezuela
  • Tutoriales y guías
  • Reviews
  • Podcasts
  • Criptopedia
  • Diccionario de acrónimos y frases sobre Bitcoin
  • Glosario de Bitcoin y blockchains
  • Calendario de eventos
  • Voz Empresarial
    • IOV Labs
  • Contacto

© 2020 Hecho con ♥ por Latinos.