El talón de Aquiles de Blockchain: cómo los validadores se convirtieron en el objetivo de una amenaza de miles de millones de dólares

Los investigadores llevaron a cabo un análisis en profundidad de la seguridad de blockchain, centrándose en un aspecto menos explorado: la seguridad de los servidores centrales, conocidos como validadores, que respaldan las redes de blockchain. Estos validadores fueron proporcionados por InfStones, una empresa que ofrece servicios de participación en varios protocolos blockchain.

Los investigadores descubrieron una cadena de vulnerabilidades que les permitía comprometer la seguridad de estos validadores. El equipo de investigación adoptó un enfoque distintivo, tratando a los validadores de blockchain como servidores convencionales y profundizando en técnicas de piratería clásicas.

Las vulnerabilidades descubiertas no solo otorgaron control sobre estos validadores, sino que también permitieron la ejecución de código y la extracción de claves privadas, lo que podría provocar pérdidas que superan los mil millones de dólares en varias criptomonedas, incluidas ETH, BNB, SUI y APT, entre otras.

Iniciaron su investigación con la red blockchain Sui, conocida por su sólida seguridad. Utilizando una llamada API en Sui Explorer, obtuvieron una lista de validadores activos y direcciones IP. Una investigación más profunda los llevó a un servidor específico administrado por InfStones, lo que despertó su interés.

El servidor objetivo tenía un puerto abierto (55555/tcp) que ejecutaba una herramienta Tailon de código abierto, diseñada para leer archivos de registro. Al explotar una vulnerabilidad en Tailon, los investigadores obtuvieron la ejecución remota de código (RCE) en el validador Sui.

Tailon se ejecutó como usuario root, lo que otorgó a los investigadores importantes privilegios.

Explotaron este punto de entrada inicial y extendieron su ataque a otros servidores InfStones utilizando una configuración similar. A través de una búsqueda de Censys, identificaron cerca de 80 servidores con el mismo servicio Tailon. Sin embargo, algunos servidores requerían autenticación básica para acceder.

Para superar esto, los investigadores crearon una cuenta en la plataforma InfStones y, a través de su investigación, descubrieron una API que actuaba como un proxy que se conectaba a Tailon. Al configurar su servidor y utilizar el proxy, obtuvieron credenciales que les permitieron autenticarse en servidores que requerían autenticación básica.

Habiendo obtenido el control de alrededor de 80 nodos, los investigadores informaron la vulnerabilidad inicial a InfStones en julio de 2023. Encontraron archivos de credenciales de AWS en todos los servidores durante su exploración, lo que indica que InfStones descargó archivos binarios de la red blockchain desde depósitos S3.

Las credenciales comprometidas tenían acceso de lectura a los depósitos y acceso de escritura, lo que permitía una posible manipulación de los archivos binarios.

Una exploración más profunda descubrió un servicio que se ejecuta en el puerto 12345 llamado "infd". Los investigadores identificaron que este servicio se ejecutaba como usuario root explotando una vulnerabilidad de inyección de comandos en la ruta de "actualización". Sin embargo, la autenticación JWT planteó un desafío.

Los investigadores descubrieron un servidor con una configuración específica de CloudProvider que les permitió eludir la autenticación JWT y explotar la vulnerabilidad de inyección de comandos. Este servidor fue identificado como el validador de InfStones Aptos, que apostó aproximadamente 150 millones de dólares.

El impacto de estas vulnerabilidades fue sustancial. Un atacante que aproveche estas fallas podría adquirir las claves privadas de los validadores en varias redes blockchain, lo que podría provocar la eliminación de los validadores, el retiro de fondos apostados o el robo de recompensas de apuestas. Los validadores afectados representaban una parte importante de la red Ethereum y de Lido, un importante operador en el espacio.

Los investigadores revelaron responsablemente sus hallazgos a InfStones y comunicaron el impacto potencial de las vulnerabilidades. InfStones afirmó haber solucionado los problemas y los investigadores acordaron retrasar la divulgación pública para dar tiempo a los esfuerzos de solución y la rotación de claves.

Lido DAO ha reconocido la vulnerabilidad reportada y está colaborando activamente con InfoStones para abordar los problemas identificados. La atención se centra en rectificar el problema específicamente relacionado con los nodos Ethereum dentro de la infraestructura de InfoStones.

Si bien se están logrando avances para abordar las preocupaciones relacionadas con Ethereum, sigue existiendo incertidumbre sobre el alcance del impacto en los validadores de Lido y otras redes mencionadas en el informe completo de dWallet. El esfuerzo de colaboración tiene como objetivo investigar a fondo y mitigar cualquier posible repercusión que surja de las vulnerabilidades.

Este estudio destacó una brecha en la responsabilidad relacionada con la seguridad de los validadores de la red blockchain. Si bien se invierten recursos considerables en la calidad del código y la seguridad de los contratos inteligentes, la seguridad de los validadores a menudo se considera fuera del alcance de los programas de recompensas, lo que crea un punto de entrada potencial para los atacantes.

Los investigadores enfatizaron la necesidad de prestar mayor atención a la seguridad de los validadores, componentes cruciales de las redes blockchain.

Pensando en el futuro

Los usuarios pueden tomar varias medidas prácticas para mejorar la seguridad de su participación en las redes y tecnologías blockchain. En primer lugar, es fundamental mantenerse informado sobre el panorama de seguridad en constante evolución de las redes blockchain.

Seguir fuentes acreditadas, investigadores de seguridad y organizaciones que compartan periódicamente conocimientos y actualizaciones ayudará a las personas y organizaciones a evitar riesgos y vulnerabilidades potenciales.

Si está involucrado en apostar u operar nodos en redes blockchain, diversificar sus servicios de validación es una estrategia prudente. Depender de un único proveedor de servicios aumenta el riesgo de sufrir vulnerabilidades o ataques.

Además, las auditorías periódicas de seguridad de la infraestructura son esenciales. Estas auditorías deberían ir más allá de la evaluación del código y los contratos inteligentes, extendiéndose a la seguridad de los validadores que respaldan la red.

La implementación de la autenticación multifactor (MFA) es otra medida crítica. Habilitar MFA en todas las cuentas y servicios relacionados con las operaciones de blockchain agrega una capa adicional de seguridad, mitigando el riesgo de acceso no autorizado.

La capacitación en materia de seguridad para el personal que gestiona la infraestructura blockchain es igualmente importante. Garantiza que las personas estén bien informadas sobre amenazas potenciales, vectores de ataque comunes y las mejores prácticas de seguridad.

En caso de descubrir vulnerabilidades en redes o servicios blockchain, es recomendable seguir prácticas de divulgación responsables. Notificar rápidamente a las partes afectadas y colaborar con ellas para abordar los problemas antes de que se divulguen públicamente puede minimizar el daño potencial.

Además, es vital revisar y auditar periódicamente las configuraciones de los servicios en la nube utilizados en las operaciones de blockchain. Esto incluye proteger los servicios, cerrar puertos abiertos innecesarios y configurar adecuadamente los controles de acceso.

Es esencial reconocer el papel fundamental de los validadores en la seguridad de las redes blockchain. Alentar a los proyectos y organizaciones de blockchain a incluir la seguridad del validador como parte de sus programas de seguridad e iniciativas de recompensas por errores puede contribuir significativamente a un ecosistema más seguro.

También se recomienda la supervisión continua de actividades inusuales y acceso no autorizado a los nodos de validación. La detección temprana de comportamientos sospechosos puede prevenir o minimizar el impacto de los incidentes de seguridad.

Por último, apoyar iniciativas que aboguen por programas de seguridad integrales en el espacio blockchain y la inclusión de seguridad de validadores en los programas de recompensas contribuirá a abordar posibles vulnerabilidades de manera efectiva.