Versus: «Eso es todo, amigos».

Acerca de:

Versus market o también conocido como «The Versus Project», era un mercado que operaba desde el 2019 en la darknet (DNM). Comenzó de forma muy modesta con unas cuantas funcionalidades y características pero su crecimiento fue constante, se estima que llego a tener mas de 100 mil usuarios, al menos 2 mil vendedores y sobre 20 mil productos listados. Monero y Bitcoin era los métodos oficiales de pago. Se enfocaba en la seguridad y simpleza de navegación y compra, según pregonaban sus creadores. Los principales productos listados estaban relacionados a drogas y farmacos ilicitos, pero tambien se ofertaban servicios, articulos digitales como software y malware, entre otros.

Como antecedente adicional, les comparto sus reglas o lista de prohibición de productos a comercializar:

Vulnerabilidad

Hace unos días, 2 usuario del foro Dread colaboraron para verificar la existencia de una vulnerabilidad reportada para Versus, como resultado publicaron la siguiente información: «El exploit es extremadamente simple pero comprometedor. Permite el acceso completo al sistema de archivos subyacente en el servidor. Esto incluye información dentro del directorio /etc/ así como los directorios de la cartera. Es un compromiso de información completa del sistema. Todo, desde la dirección IP del servidor, hasta la copia de seguridad de la base de datos en la carpeta de inicio del administrador, hasta los propios archivos de la cartera. Soy capaz de recorrer casi todo el sistema de archivos con acceso a nivel de servidor web. No hay cárcel, WAF, y el cuidado mínimo para limitar la divulgación de información en caso de un compromiso del servidor web. Puedo ver el historial de direcciones IP que han accedido previamente al servidor».

Posteriormente el coadministrador de Dread comprobó la existencia del exploit y desde esta publicación el mercado Versus ha estado inaccesible.

Se anuncia el retiro

El 22 de mayo de 2022, uno de los administradores de Versus Market anunció la retirada definitiva del mercado, escribió que pasaron varios días analizando la vulnerabilidad reportada: «Después de una evaluación en profundidad, identificamos una vulnerabilidad que permitía el acceso de sólo lectura a una copia de más de 6 meses de antigüedad de la base de datos, así como una posible fuga de ip de un único servidor que utilizamos durante menos de 30 días». Con respecto a la criticidad de la vulnerabilidad escribió: «no hubo pwn del servidor y los usuarios/proveedores no tienen nada de qué preocuparse mientras se hayan utilizado prácticas opsec estándar y básicas (por ejemplo, cifrado PGP)».

Estimada Comunidad, No hay duda de que ha habido mucha preocupación e incertidumbre con respecto a Versus en los últimos días. La mayoría de los que nos conocéis habéis asumido con razón que nuestro silencio se ha dedicado a trabajar entre bastidores para evaluar la realidad de la vulnerabilidad propuesta. Tras una evaluación en profundidad, identificamos una vulnerabilidad que permitía el acceso de sólo lectura a una copia de la base de datos de más de 6 meses de antigüedad, así como una posible filtración de la IP de un único servidor que utilizamos durante menos de 30 días. Nos tomamos muy en serio todas y cada una de las vulnerabilidades, pero creemos que es importante rebatir algunas de las afirmaciones que se han hecho sobre nosotros. En concreto: no hubo pwn de servidor y los usuarios/proveedores no tienen nada de qué preocuparse siempre que se hayan utilizado prácticas de opsec estándar y básicas (por ejemplo, cifrado PGP). En muchos sentidos, estamos contentos de ver a la comunidad unida para mejorar la seguridad de todos, este era nuestro sueño desde el principio con Versus, aunque diremos que había una clara agenda detrás de la forma en que esto fue manejado originalmente, pero te dejamos sacar tus propias conclusiones. Una vez identificada la vulnerabilidad, se nos planteó una disyuntiva: reconstruir y volver más fuertes (como habíamos hecho antes) o retirarnos con elegancia. Después de pensarlo mucho, nos hemos decidido por lo segundo. Construimos Versus desde cero y funcionó durante 3 años. Construimos una comunidad e incluso llegamos a ser el DNM número 1 cuando nunca pretendimos que ese fuera el objetivo. Llegados a cierto punto, ya no hay más camino hacia arriba, sólo hacia abajo, y en este negocio es mejor no tomar decisiones por orgullo. Aunque no terminamos como nos hubiera gustado, esperamos que la verdad sobre el alcance real de la vulnerabilidad, combinada con el impacto que hemos tenido en la comunidad, haga que los usuarios recuerden Versus con cariño en los años venideros. Versus Market se ha retirado oficialmente y os damos las gracias por vuestro apoyo y por haber formado parte de algo que esperamos haya definido el futuro de los DNM. Para todos nuestros vendedores: Pronto publicaremos un enlace donde podréis obtener vuestras transacciones sin el tiempo de bloqueo. No tendréis que esperar 90 días. Ha sido una buena carrera y me gustaría daros las gracias a todos. Os deseo lo mejor, William Gibson

<— $ Halx0n – 24 de Mayo 2022

Descargo de responsabilidad: La información compartida por nosotros es sólo de carácter informativo o educativo y no tiene la intención de promover o respaldar la compra y/o venta de cualquier producto, servicio ni tampoco servir como recomendación en la participación de hacerlo. Ni EH337.net ni ningún miembro es responsable directa o indirectamente de cualquier pérdida o daño causado o presuntamente causado por el uso de cualquier contenido, mencionado en alguno de nuestros artículos.