La era digital ha marcado el comienzo de una ola de innovaciones tecnológicas, con la tecnología blockchain a la vanguardia de esta revolución digital. Ethereum, un actor clave en este espacio, ha sido fundamental para impulsar la adopción y el desarrollo de tecnologías blockchain. Sin embargo, una gran innovación conlleva nuevas vulnerabilidades. Desde Check Point Software analizamos un tema crítico pero menos comentado en la comunidad blockchain: los riesgos de seguridad asociados con la función CREATE2 de Ethereum.

Highlights

• Liberando nuevas posibilidades, generando nuevos riesgos: la función CREATE2 de Ethereum, aclamada por su avance tecnológico, ahora está siendo explotada por ciberdelincuentes para comprometer la seguridad de las billeteras digitales y facilitar el acceso no autorizado a los fondos.
• Un nuevo método de ataque: los atacantes engañan a los usuarios para que aprueben transacciones de contratos inteligentes que aún no se han implementado. Esta laguna les permite implementar contratos maliciosos posteriormente y robar criptomonedas.
• Fortalecimiento de nuestras defensas: esta situación resalta la necesidad urgente de mejorar la seguridad de las billeteras para proteger contra las estrategias cambiantes de los ciberdelincuentes y salvaguardar los activos digitales.

En el ámbito de la cadena de bloques y las criptomonedas, Ethereum se erige como un modelo de innovación y adaptabilidad. Su capacidad para fomentar el desarrollo y la transformación lo convierte en un activo invaluable en el panorama tecnológico. Sin embargo, los mismos atributos que contribuyen al éxito de Ethereum también lo hacen susceptible a nuevas formas de vulnerabilidades de seguridad. Entre ellas, la función CREATE2 se ha convertido en un arma de doble filo, que ofrece tanto avances tecnológicos como posibles amenazas a la seguridad.

Entendiendo CREATE2

Introducida como parte de la actualización de Constantinopla de Ethereum, la función CREATE2 revolucionó la forma en que se implementan los contratos inteligentes, permitiendo la creación de contratos con direcciones deterministas incluso antes de que se escriba el código del contrato real. Esta característica mejora significativamente la previsibilidad y eficiencia de las interacciones de contratos inteligentes, especialmente dentro de los intrincados ecosistemas de aplicaciones descentralizadas ( dApps ). Facilita la planificación de interacciones entre múltiples contratos, crucial para la perfecta funcionalidad de las dApps .

El dilema de la seguridad

Si bien CREATE2 muestra las capacidades de vanguardia de Ethereum, también introduce una laguna de seguridad importante. Los ciberdelincuentes han aprovechado esta característica para eludir las medidas de seguridad tradicionales, creando un método novedoso para victimizar a los usuarios desprevenidos. La vulnerabilidad surge de la capacidad de CREATE2 para implementar un contrato inteligente en una dirección predeterminada en el futuro, lo que permite a los atacantes engañar a los usuarios para que autoricen transacciones con un contrato inexistente. Una vez que se otorga la aprobación, el atacante puede implementar un contrato malicioso en esa dirección, comprometiendo la billetera de criptomonedas del usuario.

El mecanismo de ataque

1. El ciberdelincuente convence al usuario para que apruebe o aumente la asignación de un contrato que aún no se ha implementado.
2. Dado que el contrato no existe en el momento de la aprobación, evade la detección por parte de las soluciones de seguridad, que normalmente detectan amenazas basadas en contratos existentes.
3. Con la autorización del usuario, el atacante implementa el contrato malicioso, accediendo y explotando los fondos del usuario.

Este método no sólo demuestra el uso indebido innovador de las funciones de Ethereum por parte de entidades maliciosas, sino que también subraya un desafío importante para los productos de seguridad. La mayoría de las medidas de seguridad están diseñadas para evaluar y validar transacciones basadas en contratos existentes y comportamientos conocidos. Sin embargo, la concesión de CREATE2 para futuras interacciones contractuales pasa por alto estos marcos de seguridad tradicionales, dejando los activos digitales vulnerables.

Descripción técnica de CREATE2

CREATE y CREATE2 son códigos de operación de Ethereum que permiten la implementación de contratos inteligentes y se diferencian principalmente en cómo se determina la dirección del nuevo contrato. CREATE determina la dirección del contrato basándose en la dirección del creador y un nonce. Por el contrario, CREATE2 ofrece un enfoque más flexible, calculando la dirección del contrato utilizando un salt especificado por el usuario, la dirección del creador y el código de inicialización del contrato. Este método implica un cálculo complejo que incluye un prefijo constante, la dirección del remitente, una sal elegida y el código de inicialización del contrato, allanando el camino para el cálculo determinista de la dirección.

Asegurar la frontera digital

La explotación de la función CREATE2 subraya la batalla continua entre la innovación y la seguridad en la esfera blockchain. A medida que Ethereum evoluciona, también deben hacerlo los mecanismos de seguridad diseñados para proteger a sus usuarios de ataques sofisticados. La concientización y la educación son primeros pasos cruciales para defender los activos digitales contra amenazas emergentes. Los desarrolladores y usuarios de Blockchain deben permanecer atentos y actualizar continuamente sus prácticas de seguridad para adelantarse a los riesgos potenciales. El sistema Threat Intel Blockchain de Check Point desempeña un papel vital en este esfuerzo continuo, reuniendo y compartiendo inteligencia sobre amenazas emergentes para ayudar a los inversores a navegar de forma segura en el espacio criptográfico.

About The Author