Ethereum [ETH]: usuarios retiran fondos de contrato inteligente vulnerable

Son muchos quienes han llamado al contrato inteligente FairWin como el esquema Ponzi de más rápido crecimiento en la red Ethereum [ETH], y ahora, dicho contrato ha vaciado su cuenta que, de acuerdo con datos de Etherscan, hace sólo unos días contaba con casi 50,000 ETH (~$9 millones de dólares).

Si bien la naturaleza del retiro no se ha confirmado, esto sugiere que los preocupados usuarios retiraron sus fondos después de que varios criptousuarios en las redes sociales especularan que, en realidad, el contrato inteligente era un esquema Ponzi.

Sin embargo, no está claro si el contrato fue drenado por su propietario, por actores maliciosos o usuarios preocupados, pero la multitud de direcciones de retiro sugiere lo último.

El investigador y desarrollador de Blockchain para Horizon Games, Philippe Castonguay, comentó al respecto:

“El esquema Ponzi http://FairWin.me contiene vulnerabilidades críticas que ponen en riesgo todos los fondos. Difundan el conocimiento (especialmente en Asia). Los usuarios deben retirar sus fondos y dejar de interactuar con el contrato lo antes posible. Los detalles sobre los exploits se publicarán pronto”.

Más tarde, Castonguay amplió los detalles de las tres vulnerabilidades principales que había descubierto en el contrato inteligente de Ethereum. Una permitía que el propietario o administrador drenara la cuenta; otra, que el administrador bloqueara los retiros. La tercera hacía posible que cualquiera robara los depósitos. El CTO de Kleros, Clement Lesaege, también publicó al respecto.

Respuesta inesperada

Después de que las vulnerabilidades se anunciaran públicamente, el equipo de FairWin respondió a Lesaege:

«Gracias por su sugerencia. Ya la hemos encontrado, pero no creemos que sea una vulnerabilidad. El contrato se juzga y el código de invitación generado por el usuario se utilizará como código de invitación final. Entonces, la escapatoria no es válida. Además, tenemos monitoreo en tiempo real. Una vez que se ingresa, ya no será válido. Le avisaremos por primera vez al intruso y luego lo excluiremos».

Según una publicación de blog más detallada de Castonguay, no hay evidencia de que los fondos fueron retirados por atacantes maliciosos. El último retiro exitoso tuvo lugar ayer, alrededor de las 9:21pm + UTC.