Investigadores de seguridad de Unciphered, una startup centrada en la recuperación de billeteras criptográficas, han revelado una vulnerabilidad significativa que afecta a millones de billeteras criptográficas. Esta falla, encontrada en una función de aleatorización obsoleta de BitcoinJS, una biblioteca JavaScript ampliamente utilizada, deja en riesgo una cantidad sustancial de fondos.

 

Antecedentes de la vulnerabilidad

La vulnerabilidad surge de una función obsoleta en BitcoinJS, una herramienta para crear aplicaciones relacionadas con Bitcoin.

El problema se agravó debido a una debilidad concurrente en los generadores de números pseudoaleatorios en los principales navegadores. Esta combinación llevó a la generación de claves de billeteras criptográficas que no eran suficientemente aleatorias, lo que las hacía vulnerables a ataques de fuerza bruta.

 

Carteras y servicios afectados

Varios proyectos que utilizan BitcoinJS, como QuickCoin, BrainWallet y CoinPunk, ya no existen. Sin embargo, los servicios activos, incluidos Blockchain.com, Blocktrail y Bitgo, todavía utilizan la función vulnerable, lo que afecta a millones de billeteras.

"Hemos estado coordinando la divulgación con múltiples entidades y, como resultado, millones de usuarios han sido alertados", informó Unciphered en una publicación de blog. "En el caso de que sea posible que un individuo tenga activos en una billetera afectada, deben trasladarse a una billetera recién generada creada con software confiable".

 

El proceso de descubrimiento

La falla, ahora conocida como "Randstorm", se descubierta accidentalmente por Unciphered por la fecha de enero de 2022, mientras intentaba recuperar una billetera Bitcoin creada en 2014 en Blockchain.info. Aunque el intento de recuperación de la contraseña falló, condujo al descubrimiento de esta vulnerabilidad crítica.

Este problema no era del todo desconocido. Por el año del 2018, un investigador de seguridad llamado "Ketamina" informó vulnerabilidades en la función SecureRandom () de BitcoinJS, advirtiendo que una aleatorización insuficiente podría poner en riesgo muchos productos criptográficos.

 

Alcance de la vulnerabilidad

Los investigadores descubrieron que las claves generadas con el BitcoinJS afectado a menudo usaban significativamente menos entropía de la requerida, lo que hacía que las billeteras creadas antes de la fecha de marzo de 2012 fueran particularmente vulnerables. Si bien los que fueron creados por los años de entre 2012 y 2015 eran más seguros, aún siguen en riesgo.

"Las claves privadas de Bitcoin deben generarse con 256 bits de entropía; desafortunadamente, las claves afectadas generadas con BitcoinJS (o proyectos dependientes) vulnerables a menudo usan menos entropía de la requerida", detalla la publicación del blog Unciphered.

 

Recomendaciones para la seguridad de la billetera criptográfica

Transferir activos: los usuarios con fondos en billeteras afectadas deben transferirlos inmediatamente a billeteras nuevas creadas con software actualizado y confiable.

Actualizaciones periódicas: mantenga actualizado el software de la billetera para garantizar que se implementen las últimas medidas de seguridad.

Utilice carteras de buena reputación: elija carteras con una sólida reputación en materia de seguridad y actualizaciones periódicas. Las carteras de hardware pueden resultar una opción aún más saludable en esta situación.

 

Fuente: Bitdefender Central