Resumen diario de noticias: un desarrollador de billetera de criptomonedas se hackeó a sí mismo para salvar a sus usuarios

¿Qué hace cuando descubre una vulnerabilidad colocada en su aplicación para robar a sus usuarios? La respuesta del fabricante de billeteras de criptomonedas Komodo: piratea su aplicación y toma el dinero de sus usuarios antes que los piratas informáticos. Incluso funcionó.

Komodo es una startup de desarrolladores conocida por su trabajo en criptomonedas y por la creación de la billetera de criptomonedas Agama. Esa billetera depende de una biblioteca de JavaScript mantenida en npm (administrador de paquetes de nodos), y un actor malintencionado intentó aprovechar la naturaleza de código abierto del código.

Hace unos meses, un colaborador anónimo realizó una "actualización útil" a la biblioteca, creando una nueva dependencia. Esperaron hasta que la actualización se incorporó a la aplicación Agama, luego hicieron un cambio en la nueva dependencia para crear una puerta trasera en la aplicación.

El personal de npm notó los cambios, se dio cuenta de lo que estaba pasando y se puso en contacto con Komodo. Desafortunadamente, en este punto, la puerta trasera ya estaba en su lugar. Simplemente actualizar la aplicación para eliminarla podría no ser suficiente; cualquiera que no haya recibido la actualización antes de que el hacker irrumpiera perdería su criptomoneda.

Así que Komodo adoptó un enfoque bastante novedoso, se hackeó a sí mismo. Usó la misma puerta trasera que plantó el actor malintencionado para barrer 13 millones de dólares en criptomonedas y moverlas a un lugar al que el hacker no podía llegar.

Komodo publicó un blog para informar a sus usuarios de lo que hizo, por qué lo hizo y cómo pueden reclamar su dinero y transferirlo a billeteras nuevas, con suerte, más seguras.

Todo esto es, por supuesto, una lección sobre los peligros y las fortalezas que enfrentan los desarrolladores cuando usan bibliotecas de terceros y software abierto que permite que cualquiera contribuya.

Los malos actores pueden manipular el software abierto de maneras que no son posibles con el software propietario. Pero también se puede examinar más a fondo en busca de vulnerabilidades. Estos hechos ilustran las dos caras de esa moneda.

Sin embargo, lo diremos una vez más: tal vez sea mejor mantenerse alejado de las criptomonedas. [ZDNet]

En otras noticias:

• Las bandas sonoras originales de Final Fantasy ahora son gratuitas: en un movimiento sorpresa, Square-Enix cargó casi todas las bandas sonoras originales de Final Fantasy en Spotify y Apple Music. No son orquestaciones, sino cómo sonaban las canciones en los juegos. Desafortunadamente, la mayoría de los títulos y canciones con voz, como Suteki da ne, están en japonés. Pero si amas Final Fantasy, escúchalos. [Participar]
• El nuevo dron de entrega de Amazon es una locura: Amazon mostró ayer su dron de entrega y tiene algunos buenos trucos bajo la manga. No funciona como los drones que podrías imaginar, sino que cambia de posición para volar y aterrizar/despegar. El dron puede viajar 15 millas y transportar un paquete de cinco libras, y Amazon dice que comenzará a realizar entregas en los próximos meses. ¿Dónde entregará? Amazon no respondió. [TechCrunch]
• Google está acabando con Trips, otra aplicación que nunca usaste: Google continúa con su versión de Thanos Snap al eliminar otro de sus productos. En esta ocasión Trips está en el tajo, una aplicación utilizada para la organización de viajes. La compañía dice que Google Travel es su reemplazo, pero como señala Ars Technica, es un sitio web, no una aplicación. Peor aún, es un montón de basura de interminables anuncios. [Ars Technica]
• iOS 13 le da un controlador adecuado a la aplicación Sony Remote Play: nos gusta la aplicación Sony Remote Play, pero su desventaja son los controles de pantalla táctil. Puede usar un controlador de terceros, pero eso es otra cosa que comprar, y es posible que los botones no coincidan. iOS13 resuelve ese problema al agregar compatibilidad con PS4 dual-shock, y eso incluye la aplicación Remote Play. Buenos tiempos. [MacRumores]
• Chrome Remote Desktop llega a la web: Chrome Remote Desktop es una manera fácil de brindar acceso remoto a una computadora, lo cual es útil cuando necesita brindar ayuda técnica desde lejos. Google ha estado probando Chrome Remote Desktop en la web durante más de un año, pero ahora aparentemente ya no está en versión beta y está oficialmente disponible para todos. Muy agradable. [9to5Google]
• Alexa se volverá más conversacional en el futuro: en este momento, usar Alexa puede ser un poco frustrante. Diga un comando, obtenga un resultado, despiértela, diga un nuevo comando, comience de nuevo. Pronto le pedirá que pase a la habilidad relacionada utilizando la información anterior. ¿Compraste entradas para una película? Ella puede sugerir una reserva para cenar cerca del teatro, sin que tengas que preguntarle o decirle dónde está el teatro nuevamente. Cosas bastante geniales. [VentureBeat]
• Cadillac agrega 70,000 millas de carretera compatible a SuperCruise: el programa de asistencia al conductor de Cadillac, llamado SuperCruise, adopta un enfoque único para la conducción con manos libres. Puede mantener las manos alejadas del volante durante más tiempo, pero solo si se encuentra en una carretera previamente mapeada y sigue mirando la carretera. Las cámaras te observan para asegurarse de que estás prestando atención. Cadillac acaba de expandir sus autopistas con mapas lidar en 70,000 millas, lo que significa que podrá usar SuperCruise mucho más que antes. [Tendencias digitales]
• Android Q beta está causando bootloops: nunca debe instalar un sistema operativo beta en su dispositivo principal, ya sea una computadora, tableta o teléfono. El motivo de ese consejo se demuestra claramente hoy, ya que Google acaba de pausar su lanzamiento beta de Android Q después de enterarse de que los teléfonos Android se estaban atascando en un bootloop. Aparentemente, la única salida era un restablecimiento de fábrica. No es bonito, pero bueno, es una versión beta. [El borde]

En buenas noticias científicas, los astrónomos finalmente detectaron un disco de acreción que, según la teoría, rodea el agujero negro supermasivo en el centro de nuestra galaxia.

Como la mayoría de las galaxias, el centro de nuestra galaxia es un agujero negro supermasivo denominado Sagitario A*. ¿Qué tan supermasivo? Imagina el sol y luego multiplica ese tamaño por cuatro millones. Es uno de esos tamaños increíblemente grandes que es realmente imposible de comprender por completo.

Lo que pasa con Sag A* es que es bastante silencioso. En otras galaxias, los astrónomos pueden detectar fácilmente la evidencia de discos calientes de gases en órbita, llamados discos de acreción. Cuando los programas de televisión y los movimientos muestran un agujero negro, ese remolino que tiendes a pensar como el agujero negro es el disco de acreción.

Pero a pesar de estar tan cerca de Sag A* (en comparación con otros agujeros negros supermasivos), los científicos no pudieron encontrar su disco de acreción. Resulta que, en lugar de engullir todo a su alrededor como el monstruo que es, Sag A* se alimenta más lentamente y los gases que lo rodean son más fríos. Eso hizo que el disco fuera muy difícil de detectar.

Las características muy inusuales del centro de nuestra galaxia enfatizan cuánto más hay por aprender y descubrir en lo que respecta a la naturaleza de nuestro universo. [Noticias de ciencia]