- Publicidad/Advertisement -

Micronoticia: El Exchange Criptomonedas Poloniex es inseguro

poloniex-code-security-review-bad-result

De acuerdo con una nota publicada hoy por CCN.LA Cryptocoinsnews.com, el Exchange (en español Casa de Cambio) de Altcoin, Poloniex, la cual opera volúmenes diarios de decenas de miles, si no cientos de miles de BTC, es insegura de acuerdo con una revisión de seguridad que hizo un usuario desde el anonimato y que publicó en el sitio BitcoinTalk.com y en PDF-Archivo.com.

El nombre del usuario Xavier59, quizás no le dice mucho a nadie salvo a quienes lo conocen, pero su perfil StackExchange.com ha hecho aportes a diferentes problemáticas de seguridad que de cierto modo sugiere que es una persona con sólidos conocimientos en programación y gracias a las denuncias públicas sobre vulnerabilidades garrafales en materia de cyberseguridad del sitio Poloniex, posiblemente ahora se volverá viral. Ahora bien, según lo expresado por Xavier59, el sitio Web de Poloniex, posee al menos tres vulnerabilidades que comprometen la seguridad del mismo. No obstante según Xavier59, hizo llegar sus consideraciones acerca de la seguridad del sitio web directamente a Poloniex, que al no responder a sus mensajes de correo electrónico desde hace más un mes atrás, se vió obligado hacerlas públicas.

poloniex-security-review-by-xavier59

- Publicidad/Advertisement -

Para Xavier59, entre éstas vulnerabilidades que manifiestan incompetencia y falta de atención a riesgos potenciales, está el uso del método Get en los formularios de entrada (los cuales se emplean principalmente para la información pública) en vez del método Post el cual (se emplea principalmente para obtener información privada) para las transacciones criptomoneda. De hecho las entradas vía Get son manipulables desde el navegador directamente, modificando los valores en la barra del navegador, algo que se evita empleando el método Post. Sobre este hecho, Xavier59 afirma: “Es una mala práctica que para cualquier persona involucrada en la seguridad, podría gritar mientras descubre la misma.”

Poloniex aparentemente utiliza el tipo de datos alimentando del código, es decir números, letras, símbolos, etc. “Es representativa de la mala política de seguridad” que “podría causar un comportamiento inesperado” y otra parte, el código fuente es visible para un atacante, haciendo que sea más fácil encontrar vulnerabilidades, según Xavier59, lo que permitiría a un atacante obtener privilegios de moderador en el cuadro duende infame compartiendo así los enlaces maliciosos potencialmente infestados desde una posición de autoridad aparente.

El hecho que ante tales afirmaciones por parte de Xavier59, Andrew Quentson, de CryptoCoinsNews.com – CCN.LA, decidió contactar a Poloniex al respecto, pero tampoco han respondido a tiempo para conocer su opinión antes de la publicación del artículo. Emin Gün Sirer, profesor de la Cornell University, (en español la Universidad de Cornell), declaró públicamente que la revisión de seguridad compartida “Poloniex tiene algunas banderas rojas grandes.” Además, declaró públicamente que si bien no es una vulnerabilidad inmediata o que tenga que ser motivo de pánico, es una llamada de atención y algunas “con un nivel de práctica de seguridad del año 1995” que se debe perfeccionar. Emin Gün Sirer, declaró a CryptoCoinsNews.com – CCN.LA, que no conocer al autor de la revisión de seguridad de Poloniex y no ha tenido tiempo de comprobar él mismo las afirmaciones sobre este hecho, antes de añadir:

“Si es verdad, esto indica que el nivel de aplicación está lejos de las mejores prácticas, más cercanos a la programación web mediados de los años 90 que el estado al día de hoy de la técnica. Junto con un problema de concurrencia anterior de hace un año y medio atrás, donde Poloniex perdió dinero debido a un error básico de programación concurrente, por lo que tengo serias dudas acerca de la solidez de su aplicación.”

“La ejecución de un espacio de intercambio con estos instrumentos de valor al portador, es una tarea difícil. Tendría cuidado de cualquier empresa que comete errores elementales, debido a que los atacantes son sofisticados y están muy motivados dado que es dinero lo que está en juego.”

CryptoCoinsNews.com – CCN.LA, aclara que Tristán D’Agosta, fundador de Poloniex, aparentemente es un graduado en música, sin la experiencia debida codificación necesaria para crear Poloniex. Cómo se recordará, la Casa de Cambio, fue hackeada en el 2014 por alguien, con un simple ataque de hacer clic dos veces en el botón de salir, sobre lo que Xavier59 afirma:

Poloniex está usando PHP + Nginx como su servidor. Nginx es multiproceso lo que significa que puede realizar muchas peticiones al mismo tiempo, si dos solicitudes de retiros se llevan a cabo en dos hilos diferentes al mismo tiempo, sólo uno de ellos puede ser validado debido a que el primer hilo no actualizó el número de Bitcoin de la cuenta de un usuario dentro de la base de datos, por lo que el retiro del segundo hilo recoge el número de Bitcoin a disponibles en ella.”

Xavier59, además añade que “Poloniex parece tan débil actualmente como lo era hace 2 años y no aumentó su seguridad, pues está utilizando malas prácticas de codificación.”

Más vale estar prevenido que lamentar

precaucion-cuida-tus-criptomonedas

En ese caso, lo más importante es que si usas regularmente la plataforma, estés prevenido de que estás utilizando un terreno minado para hacer intercambios de criptomonedas y que hacerlo en un sitio con baja seguridad, no sólo pone en riesgo tus activos sino tu identidad. Es muy claro que en Latinoamérica hay muchas personas que a diario utilizan esa plataforma para realizar transacciones con sus Altcoin, algo que luego de leer esta alerta, es necesario revisar ya que esas Altcoin, son dinero electrónico y parte de nuestros activos digitales con valor.

Es hora que de alguna forma, las empresas FinTech, desarrollen mejores prácticas de seguridad, para evitar caer en lo mismo que caen los bancos, cuando manejan nuestro dinero, pues muchos bancos a nivel mundial, poseen sistemas altamente vulnerables a ataques electrónicos los cuales comprometen no sólo el patrimonio de dichas Instituciones financieras, sino el patrimomio personal de las personas que allí “resguardan” (si se puede decir) su dinero.

cryptocoinsnews-lgo
Para leer la nota completa en CCN.LA CryptoCoinsNews.com en inglés, ingresa aquí: CCN.LA CryptoCoinsNews.com: Cryptocurrency Exchange Poloniex is Insecure, Security Review Claims.

Información de interés: Stackexchange.com: Xavier59, BitcoinTalk.org: Poloniex security review, PDF-Archive.com: POLONIEX Security review.

Sitio oficial: Poloniex.com.

Compártelo - Share it!
  • Yum
- Publicidad/Advertisement -

Dejar respuesta

Please enter your comment!
Please enter your name here

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.