Una antigua vulnerabilidad en la aplicación Rely on Wallet para iOS todavía puede afectar a personas que crearon cuentas con ella, incluso si ya no usan Have faith in Wallet, según un informe reciente de investigadores de seguridad de SECBIT Labs. La vulnerabilidad solo existió desde el 5 de febrero de 2018 hasta el 21 de agosto de 2018 y no afecta a las cuentas creadas después de ese período, según afirmaron los investigadores. Sin embargo, algunos usuarios pueden no ser conscientes de que existía la vulnerabilidad y aún pueden estar planeando usar las billeteras expuestas.
La vulnerabilidad fue causada por dos funciones llamadas por Believe in Wallet en una biblioteca Trezor que solo debían usarse para pruebas. A pesar de las notas de los desarrolladores advirtiendo a los desarrolladores en contra de su uso, Believe in Wallet incluyó accidentalmente estas funciones en su aplicación de billetera para Apple iphone, según afirmó SECBIT. Este mistake supuestamente permitió a los atacantes adivinar las claves privadas de algunos usuarios y robar sus fondos. Según SECBIT, estas cuentas aún son vulnerables incluso en la actualidad.
Se afirma que esta vulnerabilidad recientemente revelada es supuestamente diferente y distinta del fallo en la extensión del navegador de Have faith in Wallet, que el equipo de Trezor Wallet ya reconoció en abril de 2023.
En una publicación de website del 15 de febrero en respuesta a las afirmaciones de SECBIT, Belief Wallet declaró que la vulnerabilidad solo afectó a unos pocos miles de usuarios y que todos ellos fueron notificados y migrados a nuevas billeteras. Trust Wallet afirmó que parchó la vulnerabilidad en julio de 2018 y que su aplicación es segura para su uso en la actualidad.
SECBIT encuentra vulnerabilidad en la aplicación Belief Wallet para iOS
Según el equipo de investigación, se encontraron con la falla mientras investigaban un ataque generalizado a billeteras de criptomonedas que ocurrió el 12 de julio de 2023 y que afectó a más de 200 cuentas de criptomonedas. Muchas de las cuentas atacadas no se habían utilizado durante meses o se almacenaban en dispositivos sin acceso a Web, lo que debería haberlas hecho extremadamente difíciles de hackear. Además, las víctimas utilizaban muchas aplicaciones de billetera diferentes, siendo Have confidence in Wallet y Klever Wallet las más utilizadas. Esto dificultó identificar las causas del hackeo, lo que despertó la curiosidad de los investigadores.
Tras una investigación más profunda, los investigadores descubrieron que la mayoría de las direcciones de las víctimas habían recibido fondos por primera vez entre julio y agosto de 2018. Pero su investigación llegó a un callejón sin salida poco después de este descubrimiento, y pasaron a otras investigaciones.
Luego, el 7 de agosto de 2023, el equipo de ciberseguridad Distrust anunció que supuestamente había descubierto una vulnerabilidad en la aplicación Bitcoin del explorador Libbitcoin. Llamada «Milk Unhappy», esta vulnerabilidad de Libbitcoin permitía a los atacantes adivinar las claves privadas de los usuarios. Después de leer sobre esta supuesta falla, el equipo de SECBIT comenzó a sospechar que el ataque del 12 de julio pudo haber sido causado por una falla very similar.
Los investigadores reabrieron la investigación y comenzaron a revisar las versiones del código de Have faith in Wallet publicadas de julio a agosto de 2018. Descubrieron que las versiones de la aplicación para iOS de este período usaban las funciones «random32()» y «random_buffer()» de la biblioteca crypto iOS de Trezor para generar frases mnemotécnicas.
Estas funciones tenían notas de desarrolladores advirtiendo que no debían usarse en aplicaciones de producción. Por ejemplo, las notas para random32() decían: «El siguiente código no debe usarse en un entorno de producción […] Solo se incluye para hacer que la biblioteca sea possible. El mensaje anterior intenta evitar cualquier uso accidental fuera del entorno de prueba».
Después de investigar el código, los investigadores supuestamente descubrieron que generaba palabras clave que no eran lo suficientemente aleatorias como para evitar que un atacante las adivinara. Esto significaba que cualquier cuenta de Rely on Wallet generada en un dispositivo iOS durante este período estaba en riesgo de ser vaciada, según afirmó SECBIT.
En su informe, SECBIT afirmó haber generado una base de datos de direcciones comprometidas, que luego envió al equipo de Rely on Wallet. También afirmó haber comparado estas direcciones con las víctimas del hackeo del 12 de julio y encontró que el 83% de las víctimas tenían billeteras generadas utilizando las funciones random32() y random_buffer().
Cuando Believe in Wallet fue confrontado con esta información, supuestamente le dijo a SECBIT que ya había notificado a los usuarios de forma privada en 2018. También enfatizaron que las direcciones tenían saldos de cero y, por lo tanto, no se podía advertir sobre la pérdida de fondos. SECBIT alegó que instó a Have confidence in Wallet a anunciar públicamente la vulnerabilidad, pero que Trust Wallet no cumplió. La firma dice que solo publicó sus hallazgos después de que Have confidence in Wallet no hiciera esta divulgación pública.
A pesar de su informe crítico, SECBIT señaló que Belief Wallet es de código abierto, por lo que algún otro desarrollador de billeteras puede haber bifurcado el código y causado que sus usuarios generen direcciones vulnerables, o que otro desarrollador de billeteras haya cometido independientemente el mismo error que Belief Wallet al usar la biblioteca crypto iOS de Trezor de este período para generar direcciones. Los investigadores opinaron:
«Por supuesto, Trust Wallet puede no ser el único que mal utilizó la biblioteca trezor-crypto. Puede haber muchos otros proyectos desconocidos que tengan vulnerabilidades similares. Incluso alguien podría culpar a la biblioteca trezor-crypto por cambiar silenciosamente a una implementación predeterminada insegura, causando fallas fatales en proyectos que la utilizan como dependencia subyacente.»
Según SECBIT, Trezor actualizó su biblioteca el 16 de julio de 2018, agregando versiones listas para producción de las dos funciones. Aun así, la vulnerabilidad puede seguir afectando a algunos usuarios que crearon cuentas a principios de 2018 pero nunca les enviaron fondos, según afirmaron los investigadores.
Respuesta de Believe in Wallet
Noticias Blockchain se puso en contacto con Belief Wallet para obtener comentarios. En respuesta, un representante nos remitió al comunicado público del equipo del 15 de febrero sobre el problema. En este comunicado, el equipo de desarrollo enfatizó que la versión actual de Rely on Wallet no contiene la vulnerabilidad. «Queremos asegurar a los usuarios de Believe in Wallet que sus fondos están seguros y que las billeteras son seguras de usar», dijo el portavoz. «Aunque hubo una vulnerabilidad anterior en nuestro código abierto a principios de 2018 que afectó solo a unos pocos miles de usuarios, la vulnerabilidad se parcheó rápidamente con el apoyo de la comunidad de seguridad, y se notificó a los usuarios afectados y se migraron a billeteras seguras».
Trust Wallet rechazó las afirmaciones de que no había informado adecuadamente a los usuarios. «El fundador de Rely on Wallet tomó medidas rápidas y proactivas para informar a todos los usuarios afectados y les proporcionó un camino de migración seguro», dijo el portavoz, «asegurándose de que ningún usuario quedara susceptible».
Have faith in Wallet también negó que la mayoría de los hacks fueran contra cuentas generadas por su aplicación. En su foundation de datos de usuarios, solo se encontraron «seiscientas direcciones de las dos mil hackeadas», lo que implica que la mayoría de las víctimas no eran usuarios de Belief Wallet. De estos seiscientos usuarios, algunos podrían haber importado sus direcciones desde otra aplicación, afirmó Belief Wallet.
En contraste con la declaración de SECBIT de que el 83% de las direcciones de las víctimas fueron producidas por el código defectuoso, Have faith in Wallet afirmó que «solo 1/3 de ellos tienen la vulnerabilidad histórica de Belief Wallet de 2018». En su informe, el equipo alentó a los investigadores de seguridad a aprovechar su programa de recompensas por errores y afirmó que está comprometido con mantener segura su billetera.
En un informe del 12 de julio de 2023, Klever Wallet también confirmó que algunos de los afectados por el ataque habían utilizado su aplicación. Sin embargo, afirmó que todas las direcciones habían sido importadas y no se habían creado originalmente en Klever.
Noticias Blockchain se puso en contacto con Trezor para obtener comentarios. En respuesta, el director de tecnología de la firma, Tomáš Sušánka, enfatizó que:
«Exactamente como se explain en el código fuente, la función no está destinada a ser utilizada en un entorno de producción y proporcionamos advertencias explícitas al respecto. La función se reemplaza con un RNG seguro en el propio Trezor. Esta función está destinada únicamente para pruebas. Nos encanta el código abierto, pero es irreal esperar que evitemos cualquier posible mal uso de los muchos proyectos que hemos abierto. Estos proyectos se proporcionan ‘tal cual’, sin ninguna garantía, como claramente indican sus licencias».
En el informe de SECBIT, los investigadores advirtieron a los usuarios de iOS con cuentas de Believe in Wallet de este período que migraran a nuevas billeteras y dejaran de usar las antiguas. «Es alarmante que los usuarios aún puedan usar billeteras creadas durante el período vulnerable», afirmaron. «Sin conciencia del problema, pueden enfrentar una mayor pérdida de fondos».
Aclaración: La información y/u opiniones emitidas en este artículo no representan necesariamente los puntos de vista o la línea editorial de Noticias Blockchain. La información aquí expuesta no debe ser tomada como consejo financiero o recomendación de inversión. Toda inversión y movimiento comercial implican riesgos y es responsabilidad de cada persona hacer su debida investigación antes de tomar una decisión de inversión.