æternity Blog

Website
Forum

Recompensas por el ataque al contrato multisig

admin

, , , ,

Lo que sigue para æternity Blockchain y más allá.

Hace aproximadamente dos semanas fuimos víctimas de una falla en un “contrato inteligente” creado por una de las compañías más respetables en el espacio Ethereum. El problema no fue la billetera, ni las llaves privadas, fue el contrato inteligente, que se suponía que fuera un contrato de firmas múltiples especialmente seguro, usado por muchos proyectos en este entorno. Un contrato de firmas múltiples (multisig) es un contrato en el que varias partes deben firmar para generar una transacción de ETH hacia otra cuenta Ethereum.

Algunos pueden sentir algo de empatía por el atacante. Él/ella mostró una vez más que es muy difícil escribir un contrato inteligente seguro en Ethereum — sin un equipo de investigadores, expertos en verificaciones formales y un entorno de pruebas detrás de esto. En este hack particular, el atacante fue capaz de simplemente intercambiar los dueños de un contrato de firmas múltiples, al firmar una transacción en la red pública de Ethereum convirtiéndose en el dueño. Luego pudo transferir todos los ETH fuera de esa cuenta.

“El Señor da y el Señor quita”

Debido a este incidente, perdimos control de un poco más de 82K ETH (por valor de aprox. 18M CHF o USD al precio de ese momento). Nosotros, en æternity hemos discutido nuevamente sobre cómo proceder y también sobre la madurez del ecosistema Ethereum. Esto nunca hubiera pasado con Bitcoin, donde no ha existido un simple incidente en el que una billetera de firmas múltiples sea hackeada.

Además, quedan dudas sobre si el origen del problema es Solidity (como lenguaje), Ethereum (como plataforma), la negligencia del desarrollador del contrato de billetera de firmas múltiples o un simple error humano.

Sin dudas, æternity fue afectado por este incidente. Pero no nos rendiremos y creemos que en el futuro, las tecnologías Blockchain y los contratos inteligentes serán unas de las que generen mayor impacto positivo en todo el mundo, especialmente para las regiones en desarrollo. Nosotros procedemos a implementar nuestra visión de una plataforma Blockchain más escalable, amigable para el usuario, segura y descentralizada.

Desde el inicio, aquí en æternity Blockchain hemos creído que los contratos inteligentes deben realizarse de otra forma. La idea de que cada desarrollador JavaScript deba escribir una aplicación financiera, es posiblemente una de las peores de este siglo. Contratos llamando a contratos, llamando a contratos son muy difíciles de verificar — al menos sin las herramientas correctas. En æternity, actualmente usamos un dialecto de Forth (comno el Script de Bitcoin) y un dialecto de Lisp para escribir contratos inteligentes, que están en canales de estado aislados unos de otros. Más adelante exploraremos métodos para escribir contratos aún más seguros y pondremos mayor esfuerzo en la creación de herramientas que permitan verificar contratos.

Nuevas recompensas por æternity

Para seguir relacionados directamente con la comunidad, estamos anunciando las siguientes recompensas:

1. Recompensa-devuelve-los-ETH (10% de los ETH devueltos)

Cualquiera, sea grupo/hombre/mujer, que nos devuelva los ETH provenientes de nuestra dirección atacada, a la siguiente dirección, podrá conservar el 10% de los ETH. Esta recompensa vale potencialmente varios millones y es válida para cualquiera que devuelva los ETH a la dirección que tenemos más abajo. Estamos trabajando con las autoridades locales y profesionales recientemente contratados para asistirnos.

Queridos exchanges y comunidad crypto, por favor ayúdenos a recuperar los ETH — serán altamente remunerados. Como un paso inmediato, coloquen en lista negra a la dirección raíz y todas las direcciones consecuentes del atacante.

Apreciado atacante, si estás leyendo esto, por favor ten en cuenta que estamos construyendo seriamente una plataforma de contratos inteligentes mejor y más segura. Una realmente descentralizada y que escale. Estamos pidiéndote amablemente que devuelvas los ETH que robaste del proyecto æternity a la siguiente dirección y entonces no tomaremos futuras acciones legales.

https://etherscan.io/address/0x541dE0Cd1F7eef8bdae28FBB146298EEfa993A25

También siéntanse libres de enviar mensajes a esta dirección.
Tiempo de validez: Ilimitado.

2. Herramienta de análisis y rastreo (4 ETH)

Cualquiera que escriba un script (preferiblemente nodeJS), que pueda rastrear movimientos de ETH en la Blockchain de Ethereum, recibirá 4 ETH. El script debe tomar una dirección raíz como entrada, solicitar información a Etherscan y seguir las transacciones hechas a las siguientes direcciones a donde se haya enviado ETH. Debe autoactualizarse. Debe tener un API JSON y una interfaz HTML sencilla, para que los exchanges y otras personas puedan rastrear movimientos en ETH. Debe tener licencia de código abierto, preferiblemente MIT. El desarrollo debe ser público.

Esta herramienta también ayudará a rastrear los ataques de phishing recientes.

Bono (2 ETH): conseguir que etherscan.io implemente este análisis de rastreo en su servicio, de manera públicamente accesible.

Bono (1 ETH): hacer posible que miembros de la comunidad hagan comentarios sobre las direcciones a través de algún proveedor de identidad.

Cosas buenas sobre el ataque: El atacante no podrá gastar cantidades muy grandes. Las puertas de escape fiduciarias están siendo monitoreadas. Las transacciones de Ethereum son completamente públicas y pueden ser fácilmente rastreadas. Sin embargo, cierta cantidad de lavado es posible. Pero los humanos cometen errores todo el tiempo.

Por esta razón, es importante que todos ustedes, queridos miembros de la comunidad crypto, intenten ayudarnos a registrar las transacciones de los ETH que fueron hackeados. Si trabajamos juntos, no solo podremos atrapar al hacker del contrato de llaves múltiples, también al grupo de ataques de phishing recientes y hacer de la esfera crypto, un lugar generalmente más seguro.
Tiempo de validez: 1 semana (con posible extensión).

Intentos de la comunidad de rastrear a los atacantes ETH

3. Análisis del ataque en redes Blockchain públicas (5 ETH)

El atacante pudo no haber sido cuidadoso cuando hizo sus primeros intentos de hackear los contratos de billeteras de firmas múltiples. Él/ella pudo haber hecho algunos intentos en redes Blockchain públicas de prueba donde creó un contrato de varias firmas y luego intentó atacarlo. La meta para esta recompensa es escribir un script que revise en las Blockchains de tipo Ethereum disponibles públicamente y encuentre el patrón de ataque. La persona que consiga la recompensa, debe entregar un análisis de todas las Blockchain de prueba públicamente disponibles para ETH y ETC. Esto debe ser entregado como un post público. Adicionalmente, el origen de los ETH que fueron usados para el ataque, deben ser rastreados.
Tiempo de validez: 1 semana (con posible extensión).

Camino para el Contrato de AE Tokens de æternity

Distribución de los AE tokens de æternity Blockchain

Los AE tokens serán emitidos tal como se ha anunciado en publicaciones oficiales anteriores. æternity no tendrá más, ni menos AE tokens a causa del ataque.

Lanzamiento del contrato de los AE Token de æternity en Ethereum

El hack reciente nos ha tenido muy ocupados y nos hizo considerar la reestructuración del método de distribución de los Tokens, por ejemplo, usando el protocolo ColoredCoins en BTC o LTC. Seguiremos con la creación de un contrato simple de Token ERC20 en Ethereum. Esperamos el lanzamiento del contrato de AE Token en agosto. Sin embargo, esto no detuvo nuestro progreso como puede ser visto en nuestro GitHub y nuestras actualizaciones de desarrollo.

Entendemos las preocupaciones de nuestra comunidad por que esto esté tomando más de lo previsto, pero sean pacientes, estamos trabajando muy duro para asegurar el éxito de la plataforma æternity y la entrega de esta de la forma más eficiente.

Por favor suscríbanse a nuestro newsletter o revisen nuestro blog, si quieres mantenerte actualizado sobre la fecha exacta de la distribución de AE Tokens.

Lee más sobre el hack

https://etherscan.io/address/0x541dE0Cd1F7eef8bdae28FBB146298EEfa993A25https://etherscan.io/address/0x541dE0Cd1F7eef8bdae28FBB146298EEfa993A25https://etherscan.io/address/0x541dE0Cd1F7eef8bdae28FBB146298EEfa993A25https://etherscan.io/address/0x541dE0Cd1F7eef8bdae28FBB146298EEfa993A25https://etherscan.io/address/0x541dE0Cd1F7eef8bdae28FBB146298EEfa993A25https://etherscan.io/address/0x541dE0Cd1F7eef8bdae28FBB146298EEfa993A25

Otros problemas que ocurrieron antes de la æra de la Blockchain…

https://etherscan.io/address/0x541dE0Cd1F7eef8bdae28FBB146298EEfa993A25https://etherscan.io/address/0x541dE0Cd1F7eef8bdae28FBB146298EEfa993A25

Si tienes cualquier comentario, por favor cuéntanos aquí en Medium. ¡Gracias!

…y el Señor lo regresa.

Gracias a Lior Zysman.

Telegram |Reddit | Twitter | Facebook | Telegram Español | TwitterEspañol

Leave a Reply

Your email address will not be published. Required fields are marked *