La actualización Pectra de Ethereumen Sepolia enfrenta interrupciones; un atacante desconocido mina bloques vacíos

La esperadísima actualización Pectra de Ethereumsufrió interrupciones en la red de pruebas Sepolia tras un exploit que provocó la minería de bloques vacíos. La actualización, implementada el 5 de marzo, experimentó problemas unas horas después cuando los desarrolladores detectaron mensajes de error en su nodo geth.

Según un informe del Ethereum , Marius van der Wijden, el equipo descubrió un comportamiento inesperado en el contrato de depósitotracocurrió en la red de pruebas alrededor de las 7:30 UTC del miércoles pasado. En lugar de activar el evento de depósito esperado, el contratotracun evento de transferencia incorrecto.

“Poco después de que se activara la bifurcación dura, le dijimos a Jim McDonald que enviara un depósito para probar la funcionalidad de retiro activado por ejecución que se agregó en Pectra. Luego vimos mensajes de error en nuestro nodo geth y comenzamos a ver que se minaban muchos bloques vacíos”, explicó van der Wijden.

Según se informa, el mensaje de error decía: "No se pueden analizar los datos del depósito: longitud incorrecta del depósito: quiero 576, tengo 32". Esto significaba que se ejecutó una transferencia ERC-20 bloqueada por token detracde depósito inesperada, lo que interrumpió el comportamiento esperado de la cadena. 

Un atacante desconocido explota un caso extremo pasado por alto

Wijden afirmó que los desarrolladores actuaron rápidamente para implementar una solución, pero un caso extremo pasado por alto permitió que un atacante desconocido se aprovechara del sistema. El explotador envió una transferencia sin tokens a la dirección de depósito y logró volver a generar el mismo error, lo que provocó la continua minería de bloques vacíos.

“Revisamos el contrato de depósitotracverificamos que nadie podía activar la función de depósito (ya que está protegida mediante tokens y solo entregamos tokens a partes de confianza para Sepolia). Sin embargo, pasamos por alto un caso excepcional en la especificación ERC20”, comentó el desarrollador.

Inicialmente, los desarrolladores sospecharon que el error provenía de un validador, pero posteriormente se percataron de que la transacción se originó en una cuenta nueva financiada mediante un grifo de criptomonedas. Ethereumprocedió entonces a coordinar la implementación de la solución sin dividir la cadena. 

Wijden afirmó que una liberación precipitada podría haber causado la fragmentación de la red, ya que los nodos no actualizados no habrían podido conectarse a la cadena fija. Tras evitar la crisis, planearon una implementación conjunta para las 14:00 UTC, lo que dio tiempo a los equipos para prepararse.

Los desarrolladores encontraron la falla tras una investigación adicional: el estándar ERC-20 no prohíbe las transferencias de tokens cero. Esto significa que cualquiera, sin importar cuántos tokens tuviera, podía enviar una transferencia de tokens cero. Esto es lo que causó el evento de depósito.

Tres horas y media antes de la solución coordinada, según describió el desarrollador, Sepolia supuestamente había generado una gran cantidad de bloques vacíos. Para restablecer el funcionamiento normal mientras tanto, los desarrolladores eliminaron las transacciones que activaban la vulnerabilidad y las reemplazaron por otras que ofrecían mayores beneficios. 

Los desarrolladores implementaron una solución privada para contener el ataque

El equipo de Ethereumimplementó una solución privada que filtraba las transacciones que interactuaban con eltracde depósito. Ante las sospechas de que el atacante monitoreaba los chats de los desarrolladores, decidieron no publicar la solución de inmediato. 

“La solución consiste únicamente en filtrar las transacciones que llaman directamente al contrato de depósitotracSi hubiéramos hecho pública la solución, el atacante habría podido eludir nuestra mitigación llamando al contratotracotrotrac. Estas llamadas internas seguirían activando el evento, pero no serían fáciles de filtrar durante la creación del bloque”, informó.

Una vez actualizado aproximadamente el 10% de los nodos de la red, comenzaron a aparecer bloques completos de nuevo. Esto permitió que la cadena funcionara mientras se preparaba el parche completo para su implementación.

A las 14:00 UTC, todos los nodos se actualizaron a la nueva versión con la corrección final. Unos bloques después, la transacción del atacante se minó con éxito, lo que confirmó que todos los operadores de nodos habían implementado el parche. Eldent no afectó a la red principal de Ethereum, ya que el problema era específico del contrato de depósito de Sepolia,tracpor tokens.

Afectó a todos los nodos, ya que fue un conflicto entre la especificación y la implementación deltracde depósito en Sepolia

– MariusVanDerWijden (@vdWijden) 9 de marzo de 2025

Cuando un usuario de redes sociales le preguntó si el "atacante tenía algo que ganar" al explotar el problema de la red de prueba, Wijden respondió: "No, no tenían nada que ganar con ello".

Continúan las dificultades en el precio Ethereum : la actividad del mercado es más débil

Ethereum sigue mostrando signos de debilidad, perdiendo más del 10% de su valor la semana pasada. La segunda criptomoneda más grande por capitalización de mercado ha rondado los $2,000, un mínimo de tres meses que los analistas del mercado predicen que caerá aún más.

Según los indicadores técnicos del mercado, ETH se encuentra en una tendencia bajista continua, con máximos y mínimos decrecientes junto con medias móviles bajistas. Si Ethereum no logra mantener los $2,000, los analistas advierten que los próximos niveles de soporte importantes se encuentran entre $1,800 y $1,700. 

Aunque el índice de fuerza relativa (RSI) en 30,45 sugiere un posible rebote a corto plazo, la resistencia en $2200 es un nivel que la moneda no ha logrado superar durante más de 24 horas.