Duro golpe contra Ethereum: El DAO fue hackeado

dao

El día de hoy empezaron a escucharse rumores sobre un posible caso de hackeo en contra del proyecto DAO, el cual es uno de los contratos inteligentes más ambiciosos y populares de la red de Ethereum.

Los rumores inicialmente empezaron a circular en reddit, donde un usuario comentó: “Creo que el DAO está siendo drenado en este momento”. Rápidamente otros usuarios empezaron a replicar y se comentaba sobre un ataque denominado “recursive calling”, que consiste en hacer un llamado recursivo o en ciclos infinitos a una función. En este caso especifico, él o los atacantes usaron la función “split” del DAO recursivamente para recolectar mayor cantidad de ETH de los que tenían originalmente.

¿Cómo es posible que esto suceda?

Todo parece apuntar que el DAO posee fallas de concepción y vulnerabilidades importantes que pueden ser explotadas. En este caso específico la función “split” del DAO fue agregada al proyecto por el siguiente motivo:

En el caso de que un accionista o grupo de accionistas, no estén de acuerdo con las decisiones del comisionado del proyecto. Ellos pueden elegir la opción de dividirse (split) del DAO original hacia un nuevo DAO.

La vulnerabilidad se genera, por la forma en que se ejecuta el “split”:

  1. Primero un usuario realiza una petición de split de la DAO.
  2. Se verifica el token de la cuenta del usuario.
  3. Se crea una nueva copia del DAO con los ETH originales del usuario.
  4. Luego se reduce la cantidad de ETH del usuario, según el monto del split.

Si se realiza esta petición de forma recursiva, el sistema no tiene tiempo de descontar los ETH del usuario, resultando en la acumulación de una mayor cantidad de ETH de las que el usuario tenía en un principio.

Este ataque pude ser realizado literalmente por cualquier persona y no requiere demasiadas habilidades técnicas. Vitalik Buterin, escribió en el blog original de ethereum, que la vulnerabilidad es únicamente del DAO y Ethereum es totalmente seguro y no posee fallas de seguridad.

Sin embargo, esto no calmo a los inversionistas, ya que el precio del ETH descendió 30% en menos de 3 horas, en este momento el precio del ETH es de $14. Hasta el momento la cantidad de ETH robados asciende a casi 2.5 millones (de acuerdo al precio actual), lo cual equivale a aproximadamente a $35 millones de dólares.

La dirección del atacante, que ha recibido los ETH robados, puede ser monitoreada a través de la siguiente página web:

https://etherchain.org/account/0x304a554a310c7e546dfe434669c62820b7d83490

Entre tanto, Vitalik Buterin, ha hecho un llamado a la calma, diciéndole a la comunidad que el atacante solo podrá retirar los fondos dentro de 27 días, dando una ventana de tiempo para tomar decisiones importantes que permitan recuperar los ETH robados.

Una de las propuestas para recuperar las monedas, es crear una actualización de la plataforma que evite ejecutar cualquier función calls/callcodes/delegatecalls, en el DAO y los sub-proyectos evitando que el atacante pueda retirar los fondos luego de la ventana de los 27 días.

Sin embargo, ya hay varias voces de alerta, que advierten que varios proyectos de la red de Ethereum poseen vulnerabilidades importantes. En un informe de Zikai Alex Wen, Andrew Miller estudiantes graduados de la universidad de Cornell y la universidad de Maryland, han reportado diversas vulnerabilidades en algunos proyectos de Ethereum incluyendo el mismo DAO.

Este es un golpe duro para Ethereum, esperemos la reacción de los organizadores y las medidas para solventar los problemas que se han presentado el día de hoy.

Descargo de Responsabilidad: Este comunicado de prensa es sólo para fines informativos, la información no constituye consejo de inversión o una oferta para invertir. Las opiniones expresadas en este artículo son las del autor y no representan necesariamente los puntos de vista de infocoin, y no deben ser atribuidas a, Infocoin.

You may also like...

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos necesarios están marcados *