Contratos Inteligentes Ethereum Vulnerables

Una investigación de seguridad informática ha revelado que de casi un millón de contratos inteligentes de Ethereum, 34.200 son vulnerables a hackeos que podrían devengar en el robo de Ethers de los usuarios, o eliminación de activos en contratos que no están en posesión de los hackers.

Como hemos informado anteriormente, los contratos inteligentes consisten en una serie de operaciones codificadas que se ejecutan de forma automática cuando una entrada es enviada al contrato. Muchas compañías, gobiernos e instituciones no gubernamentales han decidido implementar esta solución basada en la tecnología Blockchain con el fin de optimizar sus procesos de administración y gobernabilidad, fomentar la transparencia y la seguridad de sus procesos.

Sin embargo, cuando se habla de seguridad en el sector de la informática, nada está escrito. En este sentido, los investigadores suelen revelar fallos o vulnerabilidades con el fin de advertir a los desarrolladores del protocolo, software o hardware, a fin de corregir el problema y mejorar sus productos y soluciones.

En el caso de la red Ethereum, los contratos inteligentes son código (software), y como tal, pueden incluir vulnerabilidades y fallos que pueden ser aprovechados por los hackers. De hecho, varios robos han sido perpetrados a partir de la red Ethereum, como el que informamos el pasado mes de julio donde se sustrajeron US$ 30 millones en Ethers gracias a una vulnerabilidad de la cartera Parity.

Otro robo de US$ 50 millones en Ethers motivó al equipo de la Universidad de Singapur (NUS) a investigar los contratos inteligentes de Ethereum en busca de errores. Desde el 2016 han estado detectando errores de seguridad en estos contratos a través de una herramienta llamada Oyente, con la cual encontraron 8.883 contratos inteligentes vulnerables.

En ese momento la investigación no captó la atención de la prensa, pero ahora, los investigadores de la NUS han creado una nueva herramienta para analizar contratos inteligentes llamada Maian, que le sirvió para escanear 970.898 contratos, de los cuales el 3,5% (34.200) se vieron afectados por una vulnerabilidad que permitiría a los hackers robar los fondos de los usuarios o congelar sus activos.

Esta herramienta de detección de fallos no ha sido lanzada por los investigadores, por temor a que los hackers puedan valerse de Maian para perpetrar robos, sin embargo, para aquellos que desean detectar este tipo de vulnerabilidades, se cuenta con la herramienta Mythril, también creada por la NUS y disponible a través de GitHub.