-
La vulnerabilidad fue detectada en el contrato de intercambio 0x v2.0.
-
0x informรณ que los fondos de los usuarios no estuvieron en riesgo.
Una vulnerabilidad detectada en el contrato inteligente de intercambio de la casa de cambio descentralizada (DEX, por sus siglas en inglรฉs) 0x, obligรณ a sus desarrolladores a realizar un cierre de emergencia de las operaciones de comercio dentro de la plataforma. El proyecto 0x publicรณ una entrada en su blog la noche de este viernes 12 de julio, para explicar la situaciรณn a sus usuarios.
Segรบn el comunicado, firmado por Will Warren, cofundador de 0x Project, un investigador de seguridad externo informรณ sobre un bug en el contrato inteligente del intercambio de 0x v2.0. La vulnerabilidad permitirรญa a un atacante llenar ciertas รณrdenes con firmas invรกlidas. Como medida de precauciรณn, para evitar que la vulnerabilidad fuese aprovechada, el equipo del proyecto procediรณ al cierre de todos los contratos AssetProxy de 0x.
Hemos utilizado el contrato AssetProxyOwner para cerrar el Exchange v2.0 y todos los contratos de AssetProxy para evitar que esta vulnerabilidad sea explotada. Los contratos se cerraron aproximadamente a las 7:45 PM PT. Segรบn nuestro conocimiento, nadie ha explotado esta vulnerabilidad y no se han perdido fondos de usuarios.
Will Warren, cofundador de 0x Project
La afirmaciรณn de que los activos ZRX (tokens de 0x) de los usuarios no fueron afectados, fue confirmada en una actualizaciรณn de la publicaciรณn, al final de la noche del viernes. No obstante, seรฑalaron que los contratos inteligentes del servicio deย intercambio de 0x ya implementados โno pueden procesar transacciones y no se pueden utilizarโ.
El proyecto creรณ un parche que corrige la vulnerabilidad para los nuevos contratos de intercambios, y seรฑalรณ que ya estรกn implementado los nuevos contratos AssetProxy en la red principal de Ethereum. Segรบn el anuncio, el proceso serรญa completado en el transcurso de la noche.
Los detalles de la vulnerabilidad no fueron revelados. El equipo espera dar mรกs detalles una vez que se aseguren de que ningรบn otro contrato inteligente empleado por la casa de cambio descentralizada 0x, posea otra vulnerabilidad.
El usuario de Twitter James Prestwich, un desarrollador que estuvo reportando el caso a travรฉs de su cuenta en la red social, reconociรณ los esfuerzos del equipo de proyecto 0x, para actualizar los contratos inteligentes afectados.
@0xProject Gonna pour one out for your Friday night engineering team. Cheers ๐ฅ pic.twitter.com/Xbj31LJ4YB
โ James Prestwich (@_prestwich) July 13, 2019
Por su parte, Will Warren, agradeciรณ al investigador de seguridad samczsun, quien descubriรณ e informรณ responsablemente la vulnerabilidad y ofreciรณ disculpas a los usuarios en nombre el equipo central del proyecto. โEsperamos discutir este problema con la comunidad en general en los prรณximos dรญas para garantizar que todas las prรกcticas de seguridad de contratos inteligentes para el protocolo 0x sean transparentes, rigurosas y estรฉn examinadas por la comunidadโ, seรฑalรณ Warren.
