Solana repara error que habría permitido a hackers crear y robar tokens

La Fundación Solana informó sobre la vulnerabilidad y los esfuerzos del equipo para parchearla durante el fin de semana. Un actor malicioso podría haberla aprovechado para acuñar y robar tokens. 

***

• La Fundación Solana parchea vulnerabilidad crítica en la red.
• El problema afectaba al programa ZK ElGamal Proof, relacionado con el estándar Token-2022 de Solana.
• Habría permitido a un actor malicioso acuñar y robar ciertos tokens.
• La vulnerabilidad fue parcheada poco después de su hallazgo y no habría sido explotada. 

Los desarrolladores de la red Solana han reparado un error de «día cero» que habría permitido a actores maliciosos acuñar ciertos tokens y retirarlos de forma no autorizada de las cuentas de los usuarios.

La Fundación Solana, la organización que administra la red, publicó un reporte de autopsia durante el fin de semana revelando la vulnerabilidad y los esfuerzos del equipo para afrontarla.

La vulnerabilidad se informó por primera vez el 16 de abril a través del aviso de seguridad en GitHub de Anza, que incluía una prueba de concepto. A partir de eso, los ingenieros de los equipos de desarrollo de Solana, Anza, Firedancer y Jito, verificaron el error y comenzaron a trabajar en una solución de forma inmediata.

Según la publicación, el problema afectó al programa ZK ElGamal Proof, el sistema que verifica las pruebas de conocimiento cero (ZKP) que impulsan las transferencias confidenciales de ciertos tokens que siguen el estándar Token-2022 de Solana.

De haber sido aprovechado maliciosamente, habría permitido a un atacante acuñar teóricamente un número ilimitado de tokens o robarlos de la cuenta de cualquier usuario utilizando sofisticadas pruebas falsificadas.

Solana parchea vulnerabilidad crítica

Vale señalar que el estándar Token-2022 maneja la lógica principal de la aplicación para acuñación y cuentas de tokens, mientras que ZK ElGamal Proof verifica la exactitud de las pruebas de conocimiento cero para mostrar saldos de cuentas precisos.

Las pruebas de conocimiento cero o ZKP son un método criptográfico que permite a alguien demostrar que sabe o tiene acceso a una información, como una contraseña, sin revelar como tal esa información.

En las aplicaciones de criptomonedas, esta tecnología se pueden usar para demostrar que una transacción es válida sin mostrar cantidades o direcciones específicas (que de otro modo pueden ser utilizadas por actores maliciosos para planificar explotaciones).

Como explicó CoinDesk, el error ocurrió porque faltaban algunos componentes algebraicos en el proceso de hash durante la transformación de Fiat-Shamir —, un método estándar para hacer que las ZKP no sean interactivas, es decir que puedan convertir un proceso de ida y vuelta en una prueba única que cualquiera puede verificar.

Un atacante sofisticado podría falsificar pruebas no válidas que el verificador en cadena aún aceptaría. Esto habría permitido acciones no autorizadas, como acuñar tokens ilimitados o retirar tokens de otras cuentas.

Los parches para atender el error se distribuyeron de forma privada a los validadores un día después, el 17 de abril, después de la rvisión de las firmas de seguridad independientes, Asymmetric Research, Neodyme y OtterSec. Para el 18 de abril, una gran mayoría de validadores había adoptado la solución y no hay indicios de que un actor malicioso haya explotado el error

“Todos los fondos son seguros, y no se conoce ninguna explotación de la vulnerabilidad potencial“, afirma la publicación de la Fundación.

SOL, la criptomoneda nativa de Solana, ha caído un 1,12% de precio en las últimas 24 horas para negociarse a USD $143,9 al momento de publicación, un 5,5% menos en la semana, según datos de CoinMarketCap.

Artículo de Hannah Estefanía Pérez / DiarioBitcoin

Imagen de Unsplash