- La vulnerabilidad de Libbitcoin hace que los piratas informáticos roben cerca de $ 1 millón de los usuarios de Bitcoin, según los informes.
- Se dice que el miembro del Instituto Libbitcoin, Eric Voskuil, informó que la semilla bx no está destinada a ser utilizada en carteras de producción.
Libbitcoin, una implementación de billetera Bitcoin utilizada por desarrolladores y validadores para crear cuentas criptográficas, ha sido comprometida según la firma de seguridad blockchain SlowMist. La investigación sobre la vulnerabilidad de la biblioteca Libbitcoin Explorer 3.x reveló que, hasta el momento, se han robado más de $ 900,000 a los usuarios de Bitcoin. Se informa que los usuarios de otras criptomonedas, como Ethereum, Dogecoin, Ripple, Solana, Bitcoin Money, Litecoin y Zcash, que usan Libbitcoin para sus cuentas, no están seguros y se les recomienda transferir todos los fondos a billeteras seguras.
Recomendamos encarecidamente a todos los usuarios que utilicen las versiones 3.x de Libbitcoin Explorer que dejen de usar inmediatamente las billeteras afectadas y transfieran fondos a billeteras seguras. Asegúrese de utilizar un método de generación de números aleatorios seguro y verificado para generar nuevas billeteras.
La firma de seguridad blockchain explica que la vulnerabilidad se deriva de la implementación del generador de números pseudoaleatorios (PRNG) en las versiones Libbitcoin Explorer 3.x. Tras la evaluación, se observó que la implementación utilizó el algoritmo Mersenne Tornado y utilizó 32 bits de tiempo del sistema como semilla. Esto significa que los actores de amenazas necesitarían solo unos días para usar la fuerza bruta en las claves privadas de los usuarios.
Libbitcoin es utilizado actualmente por Airbitz (billetera móvil), Cancoin (intercambios descentralizados), Blockchain Commons (Identidad de billetera descentralizada), and so forth. Sin embargo, ninguno de estos se especificó que se vea afectado por la vulnerabilidad.
Más sobre la vulnerabilidad de Libbitcoin
En un informe encontrado en la base de datos de vulnerabilidades de seguridad cibernética de CVE, se dijo que Libbitcoin Explorer tenía un mecanismo de generación de claves defectuoso. Esto facilita que los actores de amenazas adivinen las claves privadas. Según SlowMist, los piratas informáticos se llevaron 9,7441 BTC (278 318 dólares) en un solo ataque. La acción inicial fue ponerse en contacto con los intercambios para evitar que el atacante retirara los fondos.
Se dijo que un equipo de Distrust que tenía cuatro miembros y ocho trabajadores independientes descubrió la vulnerabilidad. Según ellos, se crea una laguna cada vez que un usuario ejecuta el comando «bx seed» para generar una semilla de billetera. En la mayoría de los casos, el comando genera la misma semilla para varias personas. En otras palabras, carece de suficiente aleatoriedad. Se dijo que todo el descubrimiento comenzó cuando un usuario de Libbitcoin los contactó sobre la misteriosa desaparición de su Bitcoin el 21 de julio. El usuario antes se acercó a otros usuarios de Libbitcoin para obtener explicaciones sobre por qué su billetera está vacía sin dejar rastro, solo para descubrir que “no estaba solo”.
A raíz de estas preocupaciones, los reporteros se comunicaron con el miembro del Instituto Libbitcoin, Eric Voskuil, para obtener un comentario. Curiosamente, aclaró que la «semilla bx» no está destinada a usarse en billeteras de producción. Más bien, pretende ser «una conveniencia para cuando la herramienta se usa para demostrar un comportamiento que requiere entropía». Además, afirmó que si las personas lo usaron para la siembra de claves de producción, entonces la advertencia no es suficiente. Por ahora, tienen la intención de hacer cambios en unos días eliminando el comando por completo o fortaleciendo la advertencia contra el uso de producción.
Las vulnerabilidades de la billetera han contribuido a la pérdida de millones de dólares en varios intercambios. En junio, el pirateo de Atomic Wallet vio a los piratas robar alrededor de $ 100 millones. La mayoría de estos están relacionados con la negligencia. La plataforma de certificación de seguridad cibernética CER reveló recientemente que solo 6 de las 45 marcas de billeteras utilizaron pruebas de penetración para descubrir vulnerabilidades.
- Invierta en Ripple (XRP) y más de 70 criptomonedas y otros 3000 activos.
- 0% de comisión en acciones: compre al por mayor o solo una fracción desde tan solo $ 10.
- Copie a los comerciantes de mayor rendimiento en tiempo real, automáticamente.
- Regulado por autoridades financieras incluyendo FAC y FINRA.
2,8 millones de usuarios
Empezar
Crypto News Flash no respalda y no es responsable de ningún contenido, precisión, calidad, publicidad, productos u otros materiales en esta página. Los lectores deben hacer su propia investigación antes de realizar cualquier acción relacionada con las criptomonedas. Crypto News Flash no es responsable, directa o indirectamente, de ningún daño o pérdida causado o presuntamente causado por o en relación con el uso o la confianza en cualquier contenido, bienes o servicios mencionados.
