• Radiant Capital insta a los usuarios a revocar las aprobaciones en todas las cadenas para evitar una mayor explotación después de la violación de $50 millones.

  • Los riesgos de firma ciega aumentan debido a que las billeteras de hardware a menudo truncan los datos de las transacciones, lo que deja a los usuarios inconscientes de posibles vulnerabilidades.

  • La diversificación de los dispositivos de firma y el uso de interfaces confiables como Ledger Live pueden reducir significativamente los riesgos de ataques de firma ciega.

Radiant Capital publicó recientemente un informe post mortem en el que se detalla una violación de seguridad que provocó la pérdida de 50 millones de dólares. El incidente puso de relieve una vulnerabilidad en el proceso de firma multifirma, en el que dispositivos externos comprometidos interceptaron y reemplazaron transacciones legítimas con cargas útiles maliciosas.

Los atacantes aprovecharon la firma ciega, un problema común en los monederos físicos. Si bien Safe{Wallet} funcionó como se esperaba, los dispositivos comprometidos fuera de la interfaz interceptaron y alteraron los datos de las transacciones. Esta manipulación pasó desapercibida, lo que dio lugar a tres firmas válidas para las transacciones maliciosas.

Riesgos de la firma a ciegas en la Web3

La firma a ciegas presenta un problema de seguridad importante en los protocolos Web3. Se produce cuando los usuarios aprueban transacciones sin comprender completamente los datos. Muchos monederos de hardware, limitados por capacidades de visualización limitadas, truncan información crítica, lo que obliga a los usuarios a aprobar transacciones a ciegas.

En consecuencia, los usuarios pueden firmar transacciones maliciosas sin saberlo. El informe de Radiant Capital enfatizó la importancia de verificar los detalles de la transacción antes de firmarla. La firma a ciegas compromete la transparencia necesaria en las transacciones seguras de blockchain.

Soluciones colaborativas para mejorar la seguridad

Radiant recomienda diversificar los dispositivos de firma y utilizar interfaces confiables como Ledger Live. Esto puede ayudar a reducir los riesgos de la firma a ciegas al ofrecer más visibilidad de las transacciones. Además, la empresa está explorando soluciones para calcular los hashes de las transacciones directamente dentro de Safe, lo que ofrece a los usuarios un paso de verificación adicional.

Además, la colaboración con proveedores de monederos físicos como Ledger y Trezor es esencial para abordar este problema generalizado. La iniciativa "Clear Sign Everything" de Ledger es un paso adelante en la mitigación de las vulnerabilidades de la firma a ciegas.

Además, Radiant instó a sus usuarios a revocar las aprobaciones en todas las cadenas, incluidas Arbitrum, BSC, Ethereum y Base, para evitar una mayor explotación. El incidente sirve como recordatorio de que la seguridad en Web3 debe evolucionar con la creciente complejidad de las transacciones de blockchain.

Es necesario mejorar la gestión de las firmas de contratos inteligentes. La colaboración con los usuarios y los desarrolladores puede mejorar la visibilidad de las transacciones y proteger los activos en el ecosistema descentralizado.

El hackeo de Radiant Capital expone vulnerabilidades de firma ciega e insta a los usuarios a revocar aprobaciones apareció primero en Crypto News Land.