- Según los informes, la vulnerabilidad de Libbitcoin hace que los hackers roben cerca de 1 millón de dólares a los usuarios de Bitcoin.
- Eric Voskuil, miembro del Instituto Libbitcoin, habría informado de que la semilla bx no está pensada para ser utilizada en monederos de producción.
Libbitcoin, una implementación de monedero Bitcoin utilizada por desarrolladores y validadores para crear cuentas criptográficas, ha sido comprometido según la empresa de seguridad de blockchain SlowMist. La investigación sobre la vulnerabilidad de la biblioteca Libbitcoin Explorer 3.x reveló que hasta el momento se han robado más de 900.000 dólares a usuarios de Bitcoin. Los usuarios de otras criptomonedas como Ethereum, Dogecoin, Ripple, Solana, Bitcoin Cash, Litecoin y Zcash que utilizan Libbitcoin para sus cuentas no están a salvo y se les aconseja transferir todos los fondos a carteras seguras.
Aconsejamos encarecidamente a todos los usuarios que utilicen las versiones Libbitcoin Explorer 3.x que dejen de utilizar inmediatamente los monederos afectados y transfieran los fondos a monederos seguros. Asegúrese de utilizar un método de generación de números aleatorios seguro y verificado para generar nuevos monederos.
La empresa de seguridad de blockchain explica que la vulnerabilidad proviene de la implementación del generador de números pseudoaleatorios (PRNG) en las versiones Libbitcoin Explorer 3.x. Tras la evaluación, se observó que la implementación utilizaba el algoritmo Mersenne Twister, así como 32 bits de tiempo del sistema como semilla. Esto significa que las amenazas sólo necesitarían unos días para forzar las claves privadas de los usuarios.
Libbitcoin es utilizado actualmente por Airbitz (monedero móvil), Cancoin (intercambios descentralizados), Blockchain Commons (monedero descentralizado Identity), etc. Sin embargo, no se ha especificado que ninguno de ellos esté afectado por la vulnerabilidad.
Más información sobre la vulnerabilidad de Libbitcoin
En un informe encontrado en la base de datos de vulnerabilidades de ciberseguridad CVE, se decía que Libbitcoin Explorer tenía un mecanismo de generación de claves defectuoso. Esto hace que sea más fácil para los actores de amenazas adivinar las claves privadas. Según SlowMist, los hackers se hicieron con 9,7441 BTC (278.318 dólares) en un ataque. La acción inicial consistió en ponerse en contacto con las bolsas para impedir que el atacante retirara los fondos.
Se dice que un equipo de Distrust formado por cuatro miembros y ocho autónomos descubrió la vulnerabilidad. Según ellos, se crea un vacío legal cada vez que un usuario ejecuta el comando «bx seed» para generar una semilla de monedero. En la mayoría de los casos, el comando genera la misma semilla para varias personas. En otras palabras, carece de suficiente aleatoriedad. Se dice que todo el descubrimiento comenzó cuando un usuario de Libbitcoin se puso en contacto con ellos por la misteriosa desaparición de su Bitcoin el 21 de julio. El usuario se puso en contacto antes con otros usuarios de Libbitcoin para pedir explicaciones sobre por qué su monedero estaba vacío sin dejar rastro, sólo para descubrir que «no estaba solo».
A raíz de estas inquietudes, los periodistas se pusieron en contacto con Eric Voskuil, miembro del Instituto Libbitcoin, para pedirle un comentario. Curiosamente, aclaró que la «semilla bx» no está destinada a ser utilizada en carteras de producción. Más bien, está pensada como «una conveniencia para cuando la herramienta se utiliza para demostrar un comportamiento que requiere entropía». Afirmó además que si la gente lo utiliza para la siembra de claves de producción, entonces la advertencia no es suficiente. Por ahora, tienen la intención de hacer cambios en unos días, ya sea eliminando el comando por completo o reforzando la advertencia contra el uso en producción.
Las vulnerabilidades de los monederos han contribuido a la pérdida de millones de dólares en varias bolsas. En junio, en el pirateo de Atomic Wallet, los hackers robaron unos 100 millones de dólares. La mayoría de ellos están relacionados con negligencias. La plataforma de certificación de ciberseguridad CER reveló recientemente que sólo 6 de las 45 marcas de monederos utilizaban pruebas de penetración para descubrir vulnerabilidades.