DX.Exchange se enfrenta a escrutinio luego de grave vulnerabilidad de su seguridad
DX.Exchange, el intercambio estonio que alcanzó la fama la semana pasada luego de lanzar acciones estadounidenses con token en su plataforma, se enfrenta a un escrutinio luego de que se descubrió una grave vulnerabilidad de seguridad en su marco.
Twitter estaba lleno de entusiasmo por DX.Exchange, una plataforma que ofrecía a los usuarios la posibilidad de comprar versiones en token de acciones populares como Apple, Tesla y Amazon.
Sin embargo, un gran escepticismo, en culminación con un incidente de seguridad, ha disminuido el entusiasmo.
Fuga de datos
Según lo informado por Ars Technica este 10 de enero, el altamente publicitado intercambio de blockchain está retrasado en la seguridad del usuario al filtrar «montones de credenciales de inicio de sesión» e información personal del usuario a las computadoras que acceden a su plataforma. La vulnerabilidad fue descubierta por primera vez por un operador no identificado que analiza los marcos de seguridad y comercio de la plataforma.
Las normas criptográficas de Estonia exigen que las empresas practiquen normas estrictas de AML y KYC mientras incorporan a los usuarios, lo que significa que la presentación de información personal es una necesidad para crear las cuentas de usuario. Como un negocio regulado, DX.Exchange recopila la información financiera y legal necesaria sobre los usuarios, pero aparentemente no proporciona amplias medidas de seguridad para proteger sus datos.
El modus operandi
El comerciante creó una cuenta «ficticia» para analizar las respuestas de datos entre un usuario y los servidores del intercambio. Para su consternación, DX.Exchange incorporó datos confidenciales en su «token de autenticación», una larga cadena de caracteres alfanuméricos que validan la transferencia de información. Además, los datos de otros usuarios se incluyeron en el token, exponiendo una grave laguna en el proceso de interacción del usuario del intercambio.
El comerciante añadió:
«Tengo alrededor de 100 fichas recogidas en 30 minutos. Si quisieras criminalizar esto, sería muy fácil «.
Técnicamente hablando, la cadena de caracteres toma la forma de JSON Web Tokens, un estándar abierto que permite el acceso y la información del servidor a los usuarios según sus afirmaciones. Por ejemplo, un servidor puede validar un token que dice «iniciada sesión como administrador» y usar la información para probar la transferencia de información a un cliente.
Cualquier persona en posesión de un token generado por DX.Exchange puede usar la información para obtener acceso a las cuentas afectadas, válida siempre que las víctimas no cierren la sesión manualmente de sus cuentas. Además, el comerciante descubrió que es posible obtener acceso de «puerta trasera» permanente para afectar a las cuentas mediante el uso de una interfaz de programación de aplicaciones (API), lo que hace que las cuentas sean accesibles incluso después de que las víctimas se desconecten manualmente.
Si bien lo anterior es una grave violación de la confianza y los datos, se espera una situación más grave si los tokens pirateados contienen información sobre un empleado de DX.Exchange o, lo que es peor, un usuario con acceso administrativo. Dicho acceso permitiría al pirata informático descargar bases de datos completas desde servidores privados, instalar malware en el sitio e incluso vaciar las cuentas de usuario de sus fondos.
Ars Technica confirmó que el hack se informó a DX.Exchange, lo que resultó en un período de mantenimiento en todo el sitio. El equipo de intercambio confirmó la vulnerabilidad, pero atribuyó la laguna a su período de «lanzamiento suave».
Un oficial de DX.Exchange comentó:
«El error se identificó de inmediato y se eliminó en el momento en que recibimos la respuesta técnica de Ars… Debido al gran volumen de interés en nuestra plataforma y las inscripciones pesadas, descubrimos algunos errores, la mayoría están resueltos, pocos están siendo examinados en este momento. Estamos seguros de poder solucionarlos todos y finalizar nuestro lanzamiento en el menor tiempo posible «.
En un contrato basado en una cadena de bloques, DX.Exchange no ha proporcionado ni siquiera la seguridad básica. La instancia también confirma el sentimiento público más amplio sobre la industria de la cadena de bloques y la criptomoneda: está sobrevalorada, tiene poca adopción por parte de los usuarios, implementa prácticas de seguridad deficientes y está plagada de estafas y malas prácticas.