HackerOne, una plataforma de ciberseguridad que conecta a empresas con investigadores, publicó un informe en el que revela un error grave en la billetera de TRON.
Un extracto del informe, catalogado como de alta severidad, señala que tan solo una computadora hubiese sido suficiente para detener la cadena de bloques de TRON:
“Usando una sola máquina, un atacante podría enviar un ataque Denegación de Servicio Distribuida (DDOS) a todos o el 51% del nodo SR y hacer que la red Tron sea inutilizable o que no esté disponible”.
Un ataque de Denegación de Servicio Distribuida consiste básicamente en hacer que una red o sistema sea inaccesible para los usuarios legítimos. Y hasta hace poco, los piratas informáticos podían haber consumido el poder de cómputo de la red con ataques de este tipo:
“Una sola solicitud para enviar una publicación a /wallet/deploycontract con varios megabytes de bytecode junto con un largo análisis de la CPU consumirá la CPU durante unos 10 minutos mientras se mantienen varios megabytes de bytecode en el montón”.
Según el reporte, los posibles ataques DDoS consistían en la solicitud de implementación de contratos inteligentes cargados con un “bytecode” malicioso, el cual es el formato de código de la Máquina Virtual de TRON.
Según el reporte, el investigador encargado descubrió el error por primera vez el pasado 14 de enero y recibió una recompensa de US$ 1,500 por su labor el 1 de febrero. Según la publicación, la vulnerabilidad ha sido resuelta. Hard Fork, de The Next Web informa que la Fundación TRON también pagó US$ 3,100 por concepto de una segunda recompensa, aunque no revelaron detalles al respecto.
Ahora bien, la Fundación TRON lleva 10 meses en el programa de divulgación de errores, y en este periodo ha concedido un total de US$ 78,800 en recompensas a especialistas en seguridad por 15 informes de vulnerabilidad diferentes, de los cuales 12 han sido resueltos.