Una vulnerabilidad recientemente descubierta en la biblioteca Libbitcoin Explorer 3.x ha permitido que se roben más de $ 900,000 de los usuarios de Bitcoin, según un informe de la firma de seguridad de blockchain SlowMist. La vulnerabilidad también puede afectar a los usuarios de Ethereum, Ripple, Dogecoin, Solana, Litecoin, Bitcoin Funds y Zcash que usan Libbitcoin para generar cuentas.
Alerta de seguridad SlowMist
Recientemente, #Desconfianza descubrió una vulnerabilidad grave que afecta a las billeteras de criptomonedas utilizando el #libbitcoin Versiones de Explorer 3.x. Esta vulnerabilidad permite a los atacantes acceder a las claves privadas de la billetera al explotar el pseudoaleatorio Mersenne Tornado…
— Niebla Lenta (@SlowMist_Workforce) 10 de agosto de 2023
Libbitcoin es una implementación de billetera de Bitcoin que los desarrolladores y validadores a veces usan para crear cuentas de Bitcoin (BTC) y otras criptomonedas. Según su sitio world-wide-web oficial, es utilizado por «Airbitz (billetera móvil), Bitprim (interfaz de desarrollador), Blockchain Commons (identidad de billetera descentralizada), Cancoin (intercambio descentralizado)» y otras aplicaciones. SlowMist no especificó qué aplicaciones que usan Libbitcoin, si las hay, están afectadas por la vulnerabilidad.
SlowMist identificó al equipo de seguridad cibernética «Distrust» como el equipo que descubrió originalmente la laguna, que se llama vulnerabilidad «Milk Sad». Se informó a la base de datos de vulnerabilidad de seguridad cibernética de CEV el 7 de agosto.
Según la publicación, Libbitcoin Explorer tiene un mecanismo de generación de claves defectuoso, lo que permite que los atacantes adivinen las claves privadas. Como resultado, los atacantes explotaron esta vulnerabilidad para robar más de USD 900 000 en criptomonedas a partir del 10 de agosto.
SlowMist enfatizó que un ataque en individual desvió más de 9.7441 BTC (aproximadamente $278,318). La empresa afirma haber «bloqueado» la dirección, lo que implica que el equipo se ha puesto en contacto con los intercambios para evitar que el atacante retire los fondos. El equipo también declaró que monitoreará la dirección en caso de que los fondos se trasladen a otra parte.
Cuatro miembros del equipo de Distrust, junto con ocho consultores de seguridad independientes que afirman haber ayudado a descubrir la vulnerabilidad, han creado un sitio website informativo que explica la vulnerabilidad. Explicaron que la laguna se crea cuando los usuarios emplean el comando «bx seed» para generar una semilla de billetera. Este comando «utiliza el generador de números pseudoaleatorios (PRNG) Mersenne Tornado inicializado con 32 bits de tiempo del sistema», que carece de suficiente aleatoriedad y, por lo tanto, a veces produce la misma semilla para varias personas.
Los investigadores afirman haber descubierto la vulnerabilidad cuando fueron contactados por un usuario de Libbitcoin cuyo BTC había desaparecido misteriosamente el 21 de julio. Cuando el usuario contactó a otros usuarios de Libbitcoin para tratar de determinar cómo podría haberse perdido el BTC, la persona encontró que a otros usuarios también se les estaba desviando su BTC.
Noticias Blockchain contactó al miembro del Instituto Libbitcoin, Eric Voskuil, para hacer comentarios. En respuesta, Voskuil declaró que el comando bx seed «se proporciona como una conveniencia para cuando la herramienta se usa para demostrar un comportamiento que requiere entropía» y no está destinado a usarse en carteras de producción. «Si la gente de hecho lo usó para la siembra de claves de producción (en lugar de lanzar dados, por ejemplo), entonces la advertencia es insuficiente», afirmó Voskuil. En ese caso, «probablemente hagamos algún cambio en los próximos días para fortalecer la advertencia contra el uso de producción o eliminar el comando por completo».
Las vulnerabilidades de la billetera continúan representando un problema para los usuarios de criptomonedas en 2023. Se perdieron más de $100 millones en un hackeo de Atomic Wallet en junio, lo que fue reconocido por el equipo de la aplicación el 22 de junio. La plataforma de certificación de seguridad cibernética CER publicó su clasificación de seguridad de billetera en julio , señalando que solo seis de las 45 marcas de billeteras emplean pruebas de penetración para descubrir vulnerabilidades.
Actualización (10 de agosto a las 20:51 UTC): este artículo se actualizó para incluir un comentario de Eric Voskuil.