Ha vuelto a suceder.

Un proyecto en la blockchain de WAX ha sufrido una brecha de seguridad que les ha hecho perder la clave Owner de la cuenta de stake de tokens con el consecuente robo de tokens y volcado en el mercado. Consecuencia:

Pocas cosas hay más seguras que una blockchain gracias a su sistema de criptográfico de pares de claves. Es algo que los usuarios de Steem también conocen muy bien. Y algo que aumenta la seguridad es la existencia de diferentes pares de claves para diferentes propósitos y así limitar los riesgos por exposición.

En Steem tenemos:

• Owner Key: Es la clave principal y gracias a la cual podremos cambiar cualquier otra o recuperar la cuenta si nos roban o perdemos cualquiera de las otras claves.
• Active key: Esta clave la utilizaremos para operaciones que podemos considerar de riesgo, como las transferencias de tokens de una cuenta a otra.
• Posting key: Esta clave solo nos permite publicar contenido, respuestas y votar otros contenidos. Es la clave que usaremos con más frecuencia.
• Memo key: Una clave bastante desconocida y que sirve para encriptar/desencriptar mensajes en los memos de las transferencias.

La seguridad de nuestra cuenta dependerá de lo bien o mal que guardemos y utilicemos estas claves. Si utilizamos una aplicación de terceros para publicar contenido en Steem y le cedemos el uso de la clave Active, en lugar de la clave Posting, corremos el riesgo de que en caso de robo de claves, nos vacíen la wallet. No perderemos la cuenta ya que podremos cambiar la clave Active gracias a la clave Owner.

Pero si perdemos la clave Owner por dejarla en manos de una aplicación de dudosa reputación o por dejarla en una aplicación creada por nosotros y alojada en un servidor mal asegurado (y hackeado)... game over!

Seguridad en WAX

El sistema de cuentas de WAX blockchain es similar. Allí tenemos 2 claves de forma predeterminada:

• Owner key: Clave maestra para poder gestionar todas las demás.
• Active key: Clave que utilizaremos para todas las operaciones comúnmente.

Sin embargo, en WAX es posible crear claves que limiten el acceso a ciertas acciones de ciertos smart contracts. Estas claves son muy útiles para dejarlas en el backend de un servidor con una dApp que necesita una clave para firmar una acción determinada, o para dejarlas en dApps de terceros que nos ofrecen algún servicio.

Puedes ver más información aquí: https://www.publish0x.com/3dkrender-es/cambiar-las-claves-de-una-cuenta-en-wax-blockchain-y-limitar-xwqljpm

La noticia con la que nos hemos despertado hoy ha sido la pérdida de la clave Owner del contrato de stake de esa aplicación. Es inexplicable que los responsables de esa aplicación estuvieran utilizando dicha clave para las operaciones rutinarias de su smart contract.

Este tipo de negligencia técnica es muy grave para todo el ecosistema blockchain por la sensación de desamparo que deja en los usuarios afectados. Nosotros, como Guilds de WAX, debemos comprometernos en aumentar la documentación y mejorar la formación de nuevos desarrolladores y usuarios en general en las buenas prácticas de uso con estas tecnologías.

Gracias por apoyarnos con tu voto como Witness de la comunidad

Danos tu voto también en WAX Blockchain:
https://eosauthority.com/vote/producers?network=wax