Una vulnerabilidad recién descubierta en la biblioteca Libbitcoin Explorer 3.x ha permitido el robo de más de USD 900,000 a usuarios de Bitcoin, según un informe de la empresa de seguridad de blockchain SlowMist. La vulnerabilidad también puede afectar a usuarios de Ethereum, Ripple, Dogecoin, Solana, Litecoin, Bitcoin Funds y Zcash que utilizan Libbitcoin para generar cuentas.
SlowMist Security Warn
Lately, #Distrust identified a severe vulnerability influencing cryptocurrency wallets utilizing the #Libbitcoin Explorer 3.x variations. This vulnerability will allow attackers to access wallet non-public keys by exploiting the Mersenne Tornado pseudo-random…
— SlowMist (@SlowMist_Crew) August 10, 2023
Libbitcoin es una implementación de monedero Bitcoin que los desarrolladores y validadores utilizan en ocasiones para crear billeteras de Bitcoin (BTC) y otras criptodivisas. Según su sitio web oficial, lo utilizan «Airbitz (billetera móvil), Bitprim (interfaz para desarrolladores), Blockchain Commons (identidad descentralizada de billetera), Cancoin (exchange descentralizado)» y otras aplicaciones. SlowMist no especificó qué aplicaciones que utilizan Libbitcoin, si es que hay alguna, están afectadas por la vulnerabilidad.
Noticias Blockchain se puso en contacto con Libbitcoin Institute vía correo electrónico, pero no había recibido ningún comentario al momento de la publicación de esta historia.
SlowMist identificó al equipo de ciberseguridad «Distrust» como el que descubrió originalmente la brecha, denominada vulnerabilidad «Milk Unhappy». Se notificó a la foundation de datos de vulnerabilidades de ciberseguridad del CEV el 7 de agosto.
Según la publicación, Libbitcoin Explorer tiene un mecanismo de generación de claves defectuoso que permite a los atacantes adivinar las claves privadas.Como resultado, los atacantes aprovecharon esta vulnerabilidad para robar más de USD 900,000 en criptomonedas hasta el 10 de agosto.
SlowMist subrayó que un ataque en unique desvió más de 9,7441 BTC (aproximadamente USD 278,318).La empresa afirma haber «bloqueado» la dirección, lo que implica que el equipo se ha puesto en contacto con los exchange para impedir que el atacante retire los fondos. El equipo también ha declarado que vigilará la dirección por si los fondos se mueven a otro lugar.
Cuatro miembros del equipo de Distrust, junto con ocho consultores de seguridad autónomos que afirman haber ayudado a descubrir la vulnerabilidad, han creado un sitio website informativo en el que explican la vulnerabilidad. Explican que la brecha se crea cuando los usuarios emplean el comando «bx seed» para generar una semilla de billetera. Este comando «utiliza el generador de números pseudoaleatorios Mersenne Twister (PRNG) inicializado con 32 bits de tiempo del sistema», que carece de suficiente aleatoriedad y, por tanto, a veces produce la misma semilla para varias personas.
Los investigadores afirman haber descubierto la vulnerabilidad al ponerse en contacto con ellos un usuario de Libbitcoin cuyas tenencias de BTC habían desaparecido misteriosamente el 21 de julio.Cuando el usuario se puso en contacto con otros usuarios de Libbitcoin para tratar de determinar cómo podían haber desaparecido sus bitcoins, la persona descubrió que a otros usuarios también les estaba pasando lo mismo.
Las vulnerabilidades de billeteras siguen siendo un problema para los usuarios de criptomonedas en 2023. Más de USD 100 millones se perdieron en un hackeo de Atomic Wallet en junio, que fue reconocido por el equipo de la aplicación el 22 de junio. La plataforma de certificación de ciberseguridad CER publicó su clasificación de seguridad de billeteras en julio, señalando que solo seis de 45 empresas de billeteras emplean pruebas de penetración para descubrir vulnerabilidades.
Aclaración: La información y/u opiniones emitidas en este artículo no representan necesariamente los puntos de vista o la línea editorial de Noticias Blockchain. La información aquí expuesta no debe ser tomada como consejo financiero o recomendación de inversión. Toda inversión y movimiento comercial implican riesgos y es responsabilidad de cada persona hacer su debida investigación antes de tomar una decisión de inversión.
Las inversiones en criptoactivos no están reguladas. Es posible que no sean apropiados para inversores minoristas y que se pierda el monto complete invertido. Los servicios o productos ofrecidos no están dirigidos ni son accesibles a inversores en España.