El pasado 2 de diciembre de 2019 fue reportada una vulnerabilidad que afectaba a la plataforma de Ripio. A continuación, describimos el caso en detalle y las acciones inmediatas tomadas por el equipo de Ripio.
Con el lanzamiento de la nueva plataforma de Ripio se incorporaron nuevas funcionalidades para los usuarios. Una de ellas es la de asegurar el precio de compra / venta de una criptomoneda por 30 segundos para que cada usuario pueda confirmar el detalle de la transacción y ganar mayor control sobre la operación.
Frente a este escenario, un usuario descubrió que siguiendo ciertos pasos específicos y tomando diferentes acciones en forma simultánea, podía duplicar acciones distintas sobre el mismo monto y de esta manera vender y transferir una misma cantidad de criptomonedas (el “bug”).
Siguiendo con esto, si un usuario tenía 1 BTC en su billetera de Ripio, podía vender 1 BTC por ARS y/o transferir 1 BTC a una dirección Bitcoin externa.
En virtud de lo anterior, a partir de la disponibilidad de 1 BTC en su cuenta de Ripio, el usuario podía obtener: (i) 1 BTC en otra dirección; y (ii) el producto de la venta (en ARS) de 1 BTC en su billetera de Ripio.
Las medidas tomadas fueron las siguientes:
En primer lugar, replicamos el bug y confirmamos el caso. Inmediatamente, nuestro equipo de desarrollo solucionó el problema y puso en producción una versión que impedía continuar explotando esta vulnerabilidad.
Por último, investigamos y confirmamos que ninguna otra persona había explotado el bug en el pasado. En estos casos, esta medida resulta fundamental para conocer la magnitud del bug y calcular cuánto fondos se podrían haber visto afectados por el mismo.
Es importante destacar que esta vulnerabilidad en ningún momento afectó cuentas o fondos de nuestros usuarios sino que fueron los fondos de Ripio los que se vieron perjudicados. El uso de hot wallets con montos pequeños impide que frente a este tipo de ataques se vean vulnerados montos grandes sin ser previamente detectados.
Episodios como este nos sirven para continuar optimizando la seguridad de nuestra plataforma. Ante cualquier consulta relacionada con la seguridad de nuestra plataforma, no dudes en contactarnos a [email protected].