En un sorprendente giro de los acontecimientos, Monero, la popular criptomoneda centrada en la privacidad, reveló un exploit de la billetera de su Community Crowdfunding System (CCS) que ocurrió el 1 de septiembre de 2023. El atacante logró vaciar la billetera de 2675,73 XMR, equivalente a aproximadamente $460.000. Este dent ha generado preocupaciones sobre la seguridad y privacidad de la cadena de bloques .
El ataque se desarrolló en una serie de nueve transacciones, en las que el perpetrador logró desviar todo el saldo de la billetera CCS. El incidente dent desapercibido hasta hace poco, cuando Moonstone Research, una empresa de seguridad blockchain, dent las acciones del atacante.
Moonstone Research trac las transacciones del atacante y sugirió que el exploit fue ejecutado por un usuario de la billetera Monerujo que había habilitado una función conocida como "PocketChange". Monerujo es una billetera Monero sin custodia basada en Android que ofrece la función PocketChange, que está diseñada para mejorar el modelo de privacidad de Monero mediante la creación de múltiples "bolsillos" o "notas".
Analizando la explotación de las características de privacidad de Monero
La función PocketChange de Monerujo funciona dividiendo las monedas Monero en partes más pequeñas y distribuyéndolas en diez bolsillos diferentes. Esta fragmentación garantiza que las monedas no se vuelvan a fusionar, lo que permite a los usuarios gastar desde varios bolsillos al instante sin el período de espera habitual.
Según los hallazgos de Moonstone Research, el atacante aprovechó esta característica para crear 11 enotes de salida, un comportamiento inconsistente con las transacciones típicas. Moonstone Research expresó confianza en su evaluación, independientemente de si el atacante utilizó la versión 3.3.7 o 3.3.8 de Monerujo.
El reportero criptográfico chino Colin Wu, conocido por sus conocimientos sobre la industria de las criptomonedas, intervino en el hack. Wu compartió sus observaciones en su página oficial de X, Wu Blockchain, y destacó la suposición de SlowMist de que la vulnerabilidad puede ser una "laguna en el modelo de privacidad de Monero". Si bien el origen del ataque sigue siendo un misterio, el incidente dent planteado dudas sobre la seguridad de la cadena de bloques de Monero y la eficacia de sus funciones de privacidad.
La billetera CCS, que sirve como sistema de financiación para proyectos impulsados por la comunidad, tenía un saldo total de 2.675,73 XMR hasta el 1 de septiembre de 2023. Este saldo se acumuló a través de donaciones de la comunidad y estaba destinado a apoyar diversas iniciativas dentro del ecosistema.
El exploit de la billetera CCS ha generado preocupaciones sobre la seguridad de la red Monero. La privacidad es un principio central del diseño de las empresas, pero este dent ha planteado dudas sobre si se pueden explotar las características de privacidad. Si bien los desarrolladores de Monero trabajan continuamente para mejorar la seguridad de la red, el dent sirve como recordatorio de que ningún sistema es completamente inmune a las vulnerabilidades.
