El CTO de Ledger afirma que supuesta vulnerabilidad es un error en la experiencia del usuario

El principal productor de las hardware wallets de criptomonedas, Ledger, negó que el software de gestión de transacciones de su producto presentara una vulnerabilidad de doble gasto.

Según el CTO de Ledger, Charles Guillemet, la vulnerabilidad recientemente descubierta por el software de billetera ZenGo no es – en realidad – nada más que un defecto en la experiencia del usuario. Ilustró la naturaleza de su software complementario de la hardware wallet, Ledger Live, a Cointelegraph:

“Es importante entender que más que un ataque, el verdadero defecto puede ser visto más como una trampa ingeniosa. La trampa no es una vulnerabilidad. Sin embargo, queremos evitar que alguien sea víctima de este tipo de trucos inteligentes. […] Es sólo una cuestión de UX que podría ser utilizada por un comprador deshonesto del producto”

Las quejas no son nuevas

Las quejas de ZenGo están muy relacionadas con las publicadas por la firma Bitcoin Cash (BCH) a finales del 2019. En aquel momento, el CEO de la firma, Hayden Otto, explicó en un vídeo cómo una solución de punto de venta de Bitcoin (BTC) engañó a los usuarios haciéndoles creer que las transacciones no confirmadas eran definitivas y las aceptaron.

Al igual que BitcoinBCH, ZenGo señaló que la función replace-by-fee (RBF) de Bitcoin puede permitir a los usuarios reemplazar fácilmente una transacción no confirmada por una nueva con una dirección de destino diferente que tenga una tarifa más alta. Sin embargo, cabe señalar que esta característica únicamente facilita el aprovechamiento de la falta de finalización de las transacciones no confirmadas, algo que es más difícil, pero que sigue siendo posible sin el RBF.

Además, el informe de ZenGo también señala que el método RBF “no introduce ninguna nueva vulnerabilidad en sí mismo” y en su lugar “pone explícitamente la responsabilidad de identificar las transacciones no confirmadas como inseguras en las apps de billetera y en los usuarios”. Esto fue confirmado por Guillemet:

“Queremos agradecer a ZenGo por habernos comunicado responsablemente este asunto. […] Queremos evitar que alguien sea víctima de este tipo de engaños. Una forma de prevenir esto es, por supuesto, asegurarse de que cualquier transacción sea confirmada primero. Ledger Live publicará una actualización el 2 de julio. Ahora se muestra una advertencia sobre las transacciones pendientes”

ZenGo afirmó que se le otorgó una recompensa por haber llamado la atención sobre el tema.

Sigue leyendo:

Ir a la Fuente
Author: Adrian Zmudzinski

Envía un comentario