Dwallet Labs Dice Que Descubrió Vulnerabilidades en el Validador de Infstones que Dejaron "Comprometidos" Activos Apostados por Valor de $1.000 Millones

Amenazas Tradicionales de la Web2

Según la firma de ciberseguridad Dwallet Labs, un estudio de investigación de seguridad inicialmente mostró que un validador perteneciente a Infstones tenía “un punto de entrada potencialmente vulnerable”. La firma de seguridad argumentó que la vulnerabilidad, que fue descubierta hace más de cuatro meses, destaca los riesgos todavía significativos a los que se enfrentan los validadores por amenazas tradicionales de la Web2.

Para probar que tal vulnerabilidad podría usarse para lanzar un ataque devastador, Dwallet Labs dijo que creó su propio nodo en Infstones “para ejecutar nuestros propios nodos y atacarlos.” Este paso permitió a la firma de seguridad obtener “control total y extraer llaves”. Repitiendo este tipo de ataque, Dwallet Labs descubrió más vulnerabilidades. La firma de seguridad pudo posteriormente afectar a más de 1,000 servidores de Infstones y “obtener control total, incluyendo extraer llaves de validador que se almacenan localmente en el servidor”.

Vulnerabilidades, una Amenaza para los Activos Apostados

En una publicación en Medium post que detalla los resultados de la investigación de seguridad, Elad Enerst, un investigador de seguridad en Dwallet Labs, explicó que la investigación se había “centrado en atacar redes de blockchain desde un ángulo más tradicional.” El plan, dijo, era tratar a los validadores como servidores en la nube normales y atacarlos utilizando lo que describió como técnicas clásicas.

Mientras tanto, en una publicación en redes sociales que discutía las posibles consecuencias si un actor malicioso fuera capaz de obtener tal control, Omer Sadika, el CEO de Dwallet Labs, dijo:

“El impacto de los servidores afectados significó que más de $1B de activos apostados estaban comprometidos, con llaves de validador que podrían ser robadas para más del 1.2% de la participación de Ethereum y el 3.9% de Lido. Los atacantes podrían explotar vulnerabilidades como estas en muchos proveedores de validación para extraer llaves hasta que obtengan suficiente poder para tomar el control y/o censurar redes.”

Para Sadika y su equipo, descubrir la vulnerabilidad demuestra que a pesar de tener un contrato inteligente hermético, la infraestructura utilizada para ejecutar tal contrato inteligente o código puede potencialmente crear un “vector de ataque que permite tomar completamente el control de la red”.

Infstones Dice que ya se Han Tomado las Medidas Apropiadas

Mientras que Infstones ha reconocido la existencia de una vulnerabilidad descubierta por Dwallet Labs, la primera informó que disputa la evaluación de la segunda acerca de “la gravedad del impacto potencial.” Según una publicación compartida por Cryptotag en X (anteriormente Twitter), Infstones cree que la vulnerabilidad encontrada en 237 instancias representa menos del 0.1% de los nodos en vivo que ha lanzado hasta la fecha.

Sin embargo, la publicación en redes sociales dijo que Infstones ya ha resuelto algunos de los problemas planteados por Dwallet Labs en su extenso informe.

Sin embargo, en una publicación posterior luego de informes de que Infstones había tomado las medidas apropiadas para resolver los problemas destacados por su empresa, Sadika aparentemente lamentaba el intento de Infstones de minimizar el problema.

“La peor manera de manejar una vulnerabilidad de ciberseguridad no es asumir la responsabilidad y mentir. Fuimos súper abiertos y transparentes con el objetivo de eliminar el riesgo para Web3. Mi opinión: no se trata de si estás completamente seguro o no, porque nadie lo está, se trata de cómo lo manejas y mantienes la confianza con tus socios y clientes”, afirmó Sadika.

¿Cuáles son tus pensamientos sobre esta historia? Háganos saber lo que piensa en la sección de comentarios a continuación.