Las carteras de Bitcoin tienen un defecto que puede ser usado contra los usuarios

A pesar de los rápidos avances que la industria de la criptografía está viendo, todavía hay muchos defectos que quedan por encontrar y arreglar. Un gran defecto que podría impactar a bastantes personas de una manera muy negativa, gira en torno a la interfaz de usuario de algunas de las populares carteras de Bitcoin.

¿Qué hace la falla?

De acuerdo con un reciente informe de un servicio de carteras ZenGo, numerosas carteras importantes, como Edge, BRD, y Ledger Live, todas sufren del mismo defecto. El defecto podría permitir a los potenciales atacantes engañar a los dueños de las carteras para que piensen que les pagaron en BTC. En realidad, sin embargo, este pago nunca habría llegado.

El problema radica en una característica conocida como "Reemplazo por Honorarios". Esta característica permite a los usuarios reemplazar las transacciones que aún están esperando confirmación con otra que usaría las mismas monedas, pero con una tarifa más alta.

Esta característica existe para ayudar a las personas cuya transacción inicial termina estancada en el mempool debido a las bajas tarifas. Al menos en teoría, si se opta por pagar una tarifa más alta, la transacción se procesará más rápidamente.

Pero, el diseño de las carteras afectadas podría permitir a los hackers explotar esta característica y engañar a la gente para que piense que se les pagó.

Esto podría utilizarse contra los comerciantes o proveedores de servicios, ya que los estafadores podrían realizar una transacción, y luego, mientras permanece pendiente, podrían cancelarla antes de la confirmación.

ZenGo se mantuvo callado durante 90 días que expiraron ayer

El equipo de ZenGo nombró el defecto BigSpender, y rápidamente hizo que los desarrolladores de las carteras afectadas se dieran cuenta del problema. La compañía también mantuvo sus hallazgos confidenciales durante 90 días, de acuerdo con el proceso de divulgación formal. Sin embargo, este período expiró ayer, 1 de julio, y la compañía publicó sus hallazgos para advertir al público.

Caracterizó la falla como una vulnerabilidad de doble gasto. Por supuesto, el problema está ahí principalmente debido a la UI, ya que algunas de las carteras no hacen que el usuario conozca el estado de las transacciones. Por lo tanto, el usuario no sabe si la transacción está pendiente, cancelada o completada.

El mismo error también puede exponer a la gente a un ataque DoS, si la cartera calcula mal el saldo. En definitiva, es un pequeño error, fácil de pasar por alto, pero también un fallo que podría causar mucho daño si no se soluciona.