El fundador de Cardano, Charles Hoskinson, dice que la cadena de bloques no fue pirateada. La violación de la billetera SecondFi se debe a un código fuente cerrado modificado, dice.
El titular se escribió solo: Cardano fue pirateado. Excepto que no fue así. Charles Hoskinson lo dijo el 24 de junio, transmitiendo desde Colorado en lo que describió como una sesión nocturna para descifrar códigos que no debería haber tenido que desarmar.
SecondFi, la billetera anteriormente conocida como Yoroi, informó un incidente de seguridad relacionado con su software nativo de generación de billeteras web. Los informes que circularon a principios de esta semana cifran las pérdidas en aproximadamente 16 millones de ADA, y los NFT y otros tokens también se extrajeron de alrededor de 178 billeteras de autocustodia. Las cifras exactas no han sido verificadas de forma independiente. El falla en la generación de billetera claves privadas expuestas en el momento de la creación de la billetera, según los informes en ese momento.
Hoskinson tenía algo diferente en mente. La pregunta que quería respuesta no era el alcance de la pérdida. Quería saber si se había tocado algo dentro de la propia capa criptográfica de Cardano.
Cardano no es el problema aquí
Su respuesta, después de desmontar el TypeScript minificado de SecondFi: no. Las bibliotecas criptográficas de código abierto utilizadas por la inmensa mayoría de las billeteras Cardano, dijo en YouTube, parecen estar exactamente como estaban antes de que esto sucediera. Derivación de claves, lógica de billetera HD, selección de UTXO: nada de eso, según su revisión, parece tocado.
Lo que parece diferente es el código fuente cerrado. Hoskinson dijo que las transacciones anómalas parecen conectadas a la capa patentada de SecondFi, específicamente al código que había sido modificado del estándar de código abierto que mantiene Cardano. Esa distinción, seguía volviendo a ella.
Como señalaron Cardanians en X el 23 de junio, esto no fue un compromiso de la cadena de bloques de Cardano. La cuenta escribió que la causa raíz estaba en el software nativo de generación de billeteras web de SecondFi, no en la cadena. Según Hoskinson, ese encuadre es preciso.
Lo que realmente mostró el código desensamblado
Dijo que pudo replicar cómo ocurrió el ataque. No dirá cómo. Las auditorías independientes son lo primero, explicó, y Emurgo necesita liderar esa divulgación. Su lectura es que las frases iniciales de 24 palabras utilizadas por los usuarios afectados no pueden verse comprometidas. Las cosas derivadas de esas palabras clave después del hecho, esa es una historia diferente.
El infraestructura de código abierto Cardano ha pasado años construyendo exactamente para este tipo de presión. La posición de Hoskinson, como se afirmó antes de este incidente y aparentemente fue confirmada por él: el código criptográfico que afecta al ecosistema más amplio debería ser construido por una federación de entidades, no por un solo proveedor. Lo dijo claramente.
Input Output no tiene autoridad para congelar fondos o revertir transacciones. Hoskinson fue directo al respecto. Cardano fue diseñado como una criptomoneda real y ningún actor tiene esos poderes de intervención. Eso, dijo, es por diseño.
Actividad de sombrero blanco y lo que viene después
Es posible que el atacante no haya movido algunos fondos que se movieron después del incidente. Hoskinson dijo que había escuchado informes de actividad de sombrero blanco, y que algunos activos supuestamente se recuperaron a través de esa ruta. Dijo que espera entender más sobre cómo se devolverán esos fondos.
Su consejo para cualquiera que tenga una billetera que haya tocado el sistema de SecondFi: deje las llaves en reposo. No realizar transacciones. Llamó a toda la aplicación comprometida hasta que una auditoría independiente diga lo contrario y se ejecute un proceso de remediación formal.
La cobertura de los medios criptográficos, dijo, fue exactamente lo que esperaba. Lo llamó, en sus propias palabras, basura de baja integridad para periodistas de IA. Luego pasó a la parte técnica. SecondFi se ha puesto en modo de mantenimiento. La revisión independiente aún está pendiente.
Descargo de responsabilidad: Los puntos de vista y opiniones expresadas en este artículo pertenecen a su autor y no necesariamente reflejan aquellas de CriptoPasion. La opinión del autor es a título informativo y en ninguna circunstancia constituye una recomendación de inversión ni asesoría financiera.
