Monero, una criptomoneda que tiene a la privacidad como aspecto central, ha enfrentado un problema significativo que afectó imparcialmente esta propiedad de la red durante tres abriles. Los desarrolladores de Monero descubrieron recientemente un bug (defecto) en su cálculo de selección de señuelos que comprometió la confidencialidad de las transacciones. Piden a los usuarios refrescar sus wallets con necesidad.
Según los reportes de los desarrolladores, el bug afectó a las versiones de la billetera GUI/CLI desde v0.13.0.0 hasta v0.18.2.1 y tuvo un impacto severo en la privacidad de las transacciones. Durante este tiempo, los usuarios de Monero podrían activo perdido su anonimato como remitentes al realizar transacciones con fondos de 10 bloques de caducidad.
En Monero, los señuelos, todavía conocidos como ring members, son las transacciones antiguas utilizadas como distracción en las transacciones actuales. Estos señuelos se seleccionan para ocultar la verdadera entrada de fondos en una transacción y aumentar la privacidad del remitente.
La vulnerabilidad hallada se originó en el código del selector gamma, utilizado para designar señuelos en las transacciones de Monero. Adecuado a un error de desplazamiento, el selector gamma no podía designar señuelos que tuvieran exactamente 10 bloques de caducidad. Esto permitía a un observador extranjero deducir con inscripción probabilidad cuál era el pago actual en un anillo de entrada si uno de los miembros del anillo tenía exactamente 10 bloques de caducidad.
Para solucionar este problema, se lanzó la modernización de la wallet v0.18.2.2 a principios de abril, que resuelve la defecto y protege la privacidad de los usuarios de Monero. El equipo desarrollador de la red pidió a todos los usuarios de Monero refrescar sus wallets a esta lectura lo ayer posible.
Adicionalmente, se sugiere a los usuarios de wallets de terceros que verifiquen si sus desarrolladores han actualizado el código de la wallet al nuevo “wallet2” de Monero Core. Al refrescar, no solo se alivio el anonimato de los remitentes individuales, sino que todavía se aumenta el rama de anonimato para todos los usuarios, incluidos aquellos que aún utilizan versiones vulnerables anteriores.
Una defecto que afectó una característica esencial en Monero
Como se explica en la Criptopedia, sección educativa de CriptoNoticias, Monero es una red que se enfoca en conservar la privacidad de sus usuarios al hacer operaciones en ella. Para eso, emplea una serie de funcionalidades que permiten firmar una transacción sin revelar las direcciones de los participantes ni los montos involucrados.
Por eso, el hecho de que un bug haya afectado a la privacidad y que se descubra la defecto tanto tiempo posteriormente es un salida robusto para su comunidad de usuarios. De hecho, los propios desarrolladores admiten que “el parecer se descubrió por montaña al intentar solucionar un tirabuzón while infinito durante la selección del señuelo”.
Algunos usuarios manifestaron su opinión en los comentarios de la publicación de los desarrolladores en github. Por ejemplo, janowitz cuestionó que no se haya publicado la vulnerabilidad ayer, teniendo en cuenta que la última lectura de la wallet se lanzó hace casi dos meses y se podría activo apto a más usuarios sobre este problema. Adicionalmente, pidió “retener cuántas transacciones se vieron afectadas en total (…) el parecer lleva ahí casi cuatro abriles”.