Hallazgos recientes han revelado una vulnerabilidad significativa en la reconocida herramienta de monedero de criptomonedas Libbitcoin Explorer (bx).
Si alguna vez generó un monedero a través de este software o siguió las instrucciones del libro “Mastering Bitcoin”, sus activos digitales podrían estar en peligro, o peor aún, pueden haver sido robados.
Vulnerabilidad catastrófica en monederos de criptomonedas
Esta vulnerabilidad, denominada CVE-2023-39910, revela una debilidad catastrófica en el subcomando bx seed responsable de la generación de entropía de la clave privada del nueevo monedero de criiptomonedas.
Sorprendentemente, se descubrió que las versiones 3.x de Libbitcoin Explorer emplean el generador de números pseudoaleatorios Mersenne Twister (PRNG), que se inicializa con 32 bits.
Entonces, en lugar de crear una contraseña única y segura para cada usuario, el software ocasionalmente generaba la misma contraseña. Los actores maliciosos han identificado esta debilidad y han comenzado a drenar fondos de los monederos de los usuarios desprevenidos.
Cabe destacar que el peligro de la vulnerabilidad radica en la mala generación de números criptográficos. Por lo general, un sistema criptográfico seguro requiere números grandes e impredecibles. Con un generador de números aleatorios frágil, el cifrado se vuelve prácticamente inútil.
Por lo tanto, en lugar de tener la seguridad del monedero en niveles sólidos como 128 bits, 192 bits o 256 bits, se sumerge en unos escasos 32 bits.
Aunque 4,294,967,296 (2 ^ 32) combinaciones únicas pueden parecer enormes, no es mucho trabajo para que las computadoras modernas puedan descifrarlas. Con los avances actuales en informática, una PC estándar para juegos puede buscar estas combinaciones en menos de 24 horas.
Aunque hay múltiples variaciones para probar, sigue siendo un período de tiempo asombrosamente corto. Esto es especialmente cierto cuando un atacante puede posteriormente obtener el control total de sus fondos, inspeccionar transacciones anteriores e incluso firmar mensajes.
Protéjase usted mismo
Esta falla trae una realidad escalofriante. Independientemente de la seguridad con la que almacene las credenciales de su monedero, ya sea digitalmente o incluso como un monedero de papel en la bóveda de un banco físico, sus activos son susceptibles de robo.
Los registros muestran que estos ataques alcanzaron su punto máximo alrededor del 12 de julio de 2023.
Figuras de renombre en la comunidad cripto han expresado su preocupación. El CEO de Binance, Changpeng Zhao, declaró:
“Los monederos de autocustodia no están exentos de riesgos. Apoyo la autocustodia, SI sabes lo que estás haciendo. ¡Quédate #SAFU!”
Enfatizando aún más el quid de la vulnerabilidad, mencionó:
“Esta vulnerabilidad se debe al generador de números aleatorios que utiliza una semilla de 32 bits, que no es lo suficientemente aleatoria contra el craqueo moderno como las GPU. Los monederos Trust Wallet y Binance no usan esto para la generación de frases iniciales”.
La debacle de Libbitcoin Explorer es un severo recordatorio de que, si bien esta nueva era de finanzas y custodia de activos ofrece muchas oportunidades nuevas, también plantea riesgos inmensos.
Es importante que cualquier persona que use criptomonedas garantice el uso de herramientas confiables y se mantenga actualizado sobre posibles vulnerabilidades.
De conformidad con las pautas del Trust Project, BeInCrypto se compromete a brindar informes imparciales y transparentes. Este artículo de noticias tiene como objetivo proporcionar información precisa y oportuna. Sin embargo, se recomienda a los lectores que verifiquen los hechos de forma independiente y consulten con un profesional antes de tomar cualquier decisión basada en este contenido.
Este artículo fue compilado inicialmente por una IA avanzada, diseñada para extraer, analizar y organizar información de una amplia gama de fuentes. Opera desprovisto de creencias personales, emociones o sesgos, proporcionando contenido centrado en datos. Para garantizar su relevancia, precisión y cumplimiento de los estándares editoriales de BeInCrypto, un editor humano revisó, editó y aprobó meticulosamente el artículo para su publicación.