Se revela una brecha de seguridad: la billetera CCS de Monero perdió $460,000

En un sorprendente giro de los acontecimientos, Monero, la popular criptomoneda centrada en la privacidad, reveló una vulnerabilidad de seguridad en la billetera de su Sistema de Financiamiento Comunitario (CCS) el 1 de septiembre de 2023. El atacante logró vaciar la billetera de 2675,73 XMR, equivalentes a aproximadamente 460 000 dólares. Estedent ha generado preocupación sobre la seguridad y la privacidad de la cadena de bloques de Monero.

El ataque se desarrolló en una serie de nueve transacciones, donde el perpetrador logró extraer todo el saldo de la billetera CCS. Eldent permaneció oculto hasta hace poco, cuando Moonstone Research, una empresa de seguridad blockchain,dentlas acciones del atacante.

Moonstone Research traclas transacciones del atacante y sugirió que el exploit fue ejecutado por un usuario de la billetera Monerujo que había habilitado la función "PocketChange". Monerujo es una billetera Monero sin custodia basada en Android que ofrece la función PocketChange, diseñada para mejorar el modelo de privacidad de Monero mediante la creación de múltiples "pockets" o "enotes"

Análisis de la explotación de las características de privacidad de Monero

La función PocketChange de Monerujo divide las monedas Monero en partes más pequeñas y las distribuye en diez bolsillos diferentes. Esta fragmentación garantiza que las monedas no se vuelvan a fusionar, lo que permite a los usuarios gastar desde distintos bolsillos al instante, sin el tiempo de espera habitual.

Según los hallazgos de Moonstone Research, el atacante explotó esta función para crear 11 enotes de salida, un comportamiento incompatible con las transacciones típicas. Moonstone Research expresó su confianza en su evaluación, independientemente de si el atacante utilizó la versión 3.3.7 o 3.3.8 de Monerujo.

El periodista chino especializado en criptomonedas, Colin Wu, conocido por sus análisis del sector, dio su opinión sobre el hackeo. Wu compartió sus observaciones en su página oficial de X, Wu Blockchain, y destacó la hipótesis de SlowMist de que la vulnerabilidad podría ser una "laguna en el modelo de privacidad de Monero". Si bien el origen del ataque sigue siendo un misterio, el incidentedent suscitado dudas sobre la seguridad de la cadena de bloques de Monero y la eficacia de sus medidas de privacidad.

La billetera CCS, que sirve como sistema de financiación para proyectos comunitarios, mantuvo un saldo total de 2675,73 XMR hasta el 1 de septiembre de 2023. Este saldo se acumuló mediante donaciones de la comunidad y estaba destinado a apoyar diversas iniciativas dentro del ecosistema.

La vulnerabilidad de seguridad de la billetera CCS ha generado preocupación sobre la seguridad de la red Monero. La privacidad es un principio fundamental en el diseño de las empresas, pero estedent ha generado dudas sobre si las características de privacidad pueden ser explotadas. Si bien los desarrolladores de Monero trabajan continuamente para mejorar la seguridad de la red, estedent sirve como recordatorio de que ningún sistema es completamente inmune a las vulnerabilidades.