El 2 de julio, la empresa de seguridad cripto ZenGo identificó un exploit de doble gasto que apuntaba a varias billeteras populares de Bitcoin (BTC), apodado 'BigSpender'.

De nueve billeteras de criptomonedas probadas por ZenGo, las de BRD, Ledger Live y Edge fueron encontradas vulnerables al ataque. Las tres compañías actualizaron sus productos después de que ZenGo les notificara la amenaza, sin embargo la firma advirtió que "millones" de usuarios de criptos podrían haber sido expuestos al exploit antes de su identificación.

A pesar del esfuerzo de las plataformas para protegerse contra BigSpender, el propulsor de Bitcoin Cash (BCH) Hayden Otto afirma que la vulnerabilidad es inherente a Bitcoin "por diseño" y todavía puede ser atacada.

Bitcoin es vulnerable

BigSpender fue descubierto a través de la actual investigación de ZenGo sobre la característica de Bitcoin "Replace-by-Fee" (RBF)

Según la empresa de seguridad, "RBF es un método estándar que permite a los usuarios "deshacer" una transacción aún no confirmada, enviando otra transacción gastando las mismas monedas (pero posiblemente con un destino diferente) con una tarifa más alta".

Esta no es la primera vez que un exploit apunta a la vulnerabilidad de dicha característica para ejecutar un ataque de doble gasto, con una técnica similar que se puede ver claramente en un video publicado por Otto en diciembre pasado, que rápidamente se hizo viral. El exploit solo es posible con cero confirmaciones.

"La técnica es facilitada por RBF, una llamada "característica" agregada a nivel de protocolo por los desarrolladores de Bitcoin Core, que funciona si se usa BTC. El software de billetera sólo puede hacer algunas concesiones, lo que resulta en una peor experiencia para el usuario de BTC, para tratar de proteger a los mismos".

El promotor de BCH describió al exploit como "un problema de BTC en sí mismo", añadiendo que "no tiene nada que ver con los diversos programas de billeteras".

Las billeteras enfrentan la gravedad de la amenaza

Sin embargo, no todo el mundo está convencido de que BigSpender constituya una grave amenaza para Bitcoin, ya que los proveedores de servicios de billeteras afectados cuestionan el lenguaje empleado por los investigadores de ZenGo.

Hablando con Forbes: Ledger afirmó: "No se está realizando un doble gasto real. Los fondos del usuario permanecen seguros. Sin embargo, la visualización de las transacciones recibidas podría ser engañosa".

Esto es, por supuesto, lo que Otto explicó: hacer que los usuarios entreguen los bienes antes de que los fondos sean transferidos debido a una exposición "engañosa". Sin embargo, quienes esperan a que se confirmen las transacciones antes de enviar los bienes no corren el riesgo de verse afectados.

ZenGo lanzó una herramienta gratuita de código abierto que permite a los proveedores de billeteras probar sus productos y estar seguros contra el ataque de BigSpender. La empresa señaló que no todas las carteras afectadas por el exploit han implementado actualizaciones

Sigue leyendo: