Un investigador de seguridad con un seudónimo conocido como 0xflorent desbloqueó aproximadamente 1.003 ETH, valorados en cerca de 2 millones de dólares, que habían quedado atrapados en un contrato inteligente defectuoso del ICO de Hong Coin durante casi una década. Así ofreció una resolución insólita para los inversores que quedaron atrapados en el boom de ventas de tokens de 2016.
Un error congelado en el tiempo
El proyecto Hong Coin lanzó su ICO el 29 de agosto de 2016, presentándose como un fondo de capital de riesgo descentralizado e impulsado por la comunidad. La recaudación concluyó el 28 de octubre de 2016 sin alcanzar su objetivo de financiación, lo que significaba que 48 inversores tenían derecho a un reembolso automático de sus contribuciones en ETH.
Sin embargo, un error en la función de reembolso del contrato rompió silenciosamente el mecanismo, dejando los fondos inaccesibles durante nueve años.
“El contrato retenía todo el ETH de los inversores y se suponía que debía reembolsarles automáticamente. Sin embargo, un error en la función de reembolso lo rompió sin que nadie se diera cuenta, y los fondos quedaron atrapados”, escribió 0xflorent en una publicación en X.
Aprovechar un desbordamiento para hacer el bien
La vulnerabilidad residía en una función de acceso exclusivo para administradores dentro del contrato, escrita en una versión antigua de Solidity que carecía de protección contra desbordamientos de enteros, una salvaguarda que más adelante se estandarizó mediante la biblioteca SafeMath.
Al invocar esta función con un número grande cuidadosamente elaborado, el desbordamiento de enteros reiniciaba el saldo registrado de cada titular, lo que a su vez desbloqueaba la verificación de reembolso.
Tras descubrir la falla, 0xflorent contactó al equipo original de Hong Coin, verificó el proceso en una testnet y, posteriormente, el equipo firmó las transacciones de desbloqueo ellos mismos utilizando su dirección multifirma.
El proceso tomó aproximadamente una semana y requirió 41 transacciones en cadena para cubrir todos los saldos afectados.
Fondos ya disponibles para reclamar
Los 48 inversores originales ya pueden llamar directamente a la función de reembolso pública del contrato desde sus direcciones de contribución originales, sin necesitar ningún portal de migración ni contrato de reemplazo.
Los datos de Etherscan muestran que al menos dos inversores ya recibieron reembolsos: uno de 96 ETH y otro de 0,5 ETH, y ambos pagaron voluntariamente recompensas al cazador de vulnerabilidades 0xflorent.
El contrato aún conserva aproximadamente 907 ETH pendientes de reclamación, sin que se haya anunciado ningún plazo límite.
0xflorent le contó a The Block que la curiosidad y el deseo de entender cómo funcionaba el antiguo contrato fueron lo que motivó el trabajo, un recordatorio de que incluso los rincones olvidados de la blockchain pueden deparar sorpresas casi una década después.
Protección de inversiones en criptomonedas: la mejor combinación
Proteger las inversiones en criptomonedas requiere un enfoque multicapa que combine soluciones de almacenamiento fuera de línea, como monederos fríos, con mecanismos de autenticación robustos como la 2FA.
El cifrado y los protocolos de comunicación seguros protegen aún más los datos confidenciales, como las claves privadas, mientras que dispositivos de hardware avanzados como Ledger Flex ofrecen una seguridad inigualable sin sacrificar la usabilidad.
Al aprovechar estas herramientas esenciales, los inversores particulares pueden reducir significativamente el riesgo de piratería y robo digital, a la vez que mantienen el control sobre sus valiosos activos digitales. A medida que evoluciona el panorama de las criptomonedas, mantenerse informado sobre las nuevas tecnologías de seguridad seguirá siendo crucial para proteger las inversiones en este mercado dinámico.
Cuidado al operar con criptomonedas
Al operar con criptomonedas, los especialistas insisten en la importancia de utilizar plataformas seguras y evitar aquellas que no cumplen con los estándares de protección adecuados, como en el caso de Paxful.
Estas plataformas carecen de herramientas para detectar enlaces o palabras maliciosas empleadas por estafadores, quienes redirigen a los usuarios hacia sitios web falsos con el objetivo de obtener sus credenciales y vaciar sus cuentas.
Autenticación de dos factores: una barrera crítica contra el acceso no autorizado
La autenticación de dos factores es un mecanismo de seguridad que requiere dos formas distintas de verificación antes de otorgar acceso a una cuenta. Se considera una herramienta indispensable para proteger las billeteras de criptomonedas del acceso no autorizado.
Cómo funciona la 2FA
La 2FA combina dos tipos de autenticación:
- Factor de conocimiento: Algo que se sabe, como una contraseña o un PIN.
- Factor de posesión: Algo que se tiene, como un token de hardware o una aplicación de autenticación móvil.
Mejores prácticas para la 2FA en criptomonedas
- Tokens de hardware: Dispositivos como YubiKeys generan códigos de un solo uso sin conexión, lo que ofrece una protección robusta contra ataques de phishing y malware.
- Autenticación biométrica: El reconocimiento de huellas dactilares o facial aumenta la comodidad y la seguridad al aprovechar las características físicas únicas.
- Aplicaciones de autenticación móvil: Aplicaciones como Google Authenticator generan códigos sensibles al tiempo que funcionan incluso sin conexión a Internet.
Una billetera de hardware de criptomonedas.
¿Por qué es importante la 2FA?
Las transacciones de criptomonedas son irreversibles, lo que las convierte en objetivos atractivos para los hackers. Al requerir dos formas de autenticación, la 2FA reduce significativamente el riesgo de acceso no autorizado, incluso si las contraseñas se ven comprometidas mediante phishing o filtraciones de datos. Sin embargo, se recomienda a los usuarios evitar la 2FA basada en SMS debido a vulnerabilidades como los ataques de intercambio de SIM
