Entusiasta de Bitcoin descifra en minutos una frase semilla pública de 12 palabras
Un arquitecto de sistemas descifró una frase semilla y ganó una recompensa de 100,000 satoshis, o 0.001 Bitcoin (BTC), unos USD 29, en poco menos de media hora. Cointelegraph habló con Andrew Fraser en Boston, quien subrayó lo importante que es mantener la frase semilla de una billetera de Bitcoin segura y offline.
Una frase semilla o frase de recuperación es una serie de palabras aleatorias generadas cuando se crea una billetera de criptomonedas que puede otorgar acceso a la misma, similar a una llave maestra. Fraser forzó una frase semilla de 12 palabras que el educador de Bitcoin “Wicked Bitcoin” compartió en Twitter:
Anyone want to try and brute force this 12-word seed phrase securing 100,000 sats? I’ll give you all 12 words but in no particular order. Standard derivation path m/84’/0’/0’…no fancy tricks. GL.https://t.co/c9FyMv3HYM pic.twitter.com/nPGTB9bX2g
— Wicked (@w_s_bitcoin) April 26, 2023
Como se muestra, el tuit de Wicked retaba a los usuarios a descifrar el orden correcto de la frase semilla de 12 palabras.
“¿Alguien quiere intentar forzar esta frase semilla de 12 palabras asegurando 100,000 satoshis? Te daré las 12 palabras pero sin ningún orden en particular. Ruta de derivación estándar m/84’/0’/0’… sin trucos extravagantes. Buena suerte”.
Sólo se tardaron 25 minutos en conseguir los 100,000 satoshis. El incidente sirve como recordatorio oportuno para que los usuarios de Bitcoin y los entusiastas de las criptomonedas se tomen en serio la seguridad de sus activos digitales.
Fraser descifró el código utilizando BTCrecover, una aplicación informática disponible en GitHub. El software ofrece una serie de herramientas que pueden determinar frases semilla con mnemónicos perdidos o codificados y utilidades de descifrado de frases de contraseña. A través de los mensajes directos de Twitter, Fraser dijo a Cointelegraph:
“Mi GPU de juegos fue capaz de determinar el orden correcto de la frase semilla en unos 25 minutos. Aunque un sistema más capaz lo haría mucho más rápido”.
Señaló que cualquiera con conocimientos básicos de ejecución de scripts en Python, uso del intérprete de comandos de Windows y comprensión del protocolo Bitcoin -en particular de los mnemónicos BIP39- debería ser capaz de repetir su éxito.
Cointelegraph preguntó a Fraser sobre la seguridad de las claves semilla de 12 palabras. Fraser explicó que son “perfectamente seguras si las palabras permanecen desconocidas para un atacante o hay una ’13ª palabra semilla’ utilizada en la ruta de derivación del monedero”.
Además, destacó la mayor seguridad de las frases semilla de 24 palabras.
“Incluso si un atacante conociera las palabras desordenadas de su clave de semilla de 24 palabras, nunca tendría esperanza de descubrir el orden correcto”.
Fraser desglosó los cálculos de entropía para explicar la diferencia de seguridad entre los dos tipos de frases semilla. Una semilla de 12 palabras tiene aproximadamente 128 bits de entropía, mientras que una semilla de 24 palabras tiene 256 bits. Cuando un atacante conoce las palabras desordenadas de una semilla de 12 palabras, sólo hay alrededor de 500 millones de combinaciones posibles, lo que es relativamente fácil de probar con una GPU decente. Sin embargo, una semilla de 24 palabras tiene aproximadamente 6,24^24 combinaciones posibles, y eso son muchos ceros.
Incluso la probabilidad de que un atacante descifre una frase semilla de 12 palabras roza lo absurdo. Una frase semilla de 24 palabras puede ser superior, pero como señala Wicked en un post-mortem del desafío de la frase semilla, “no va a ser hackeada, para ser sincero”.
In the off chance that someone finds your seed phrase cut up and out of order, then yes lol.
— Wicked (@w_s_bitcoin) April 27, 2023
En última instancia, se trata de un recordatorio oportuno para que los lectores se aseguren de que las frases semilla nunca se publican ni se comparten en Internet. Eso significa que las frases semilla no deben almacenarse en un gestor de contraseñas o en una solución de almacenamiento en la nube, y mucho menos deben escribirse en un teléfono.
Fraser también subrayó la importancia de mantener en secreto las frases semilla y de aprovechar una frase de contraseña que funcione como parte de la ruta de derivación. ¿Y los 100,000 satoshis que Fraser se llevó a casa? Fraser tuiteó que se los había gastado en la cena de esa noche: pollo marsala. Hablando de economía circular.
Aclaración: La información y/u opiniones emitidas en este artículo no representan necesariamente los puntos de vista o la línea editorial de Cointelegraph. La información aquí expuesta no debe ser tomada como consejo financiero o recomendación de inversión. Toda inversión y movimiento comercial implican riesgos y es responsabilidad de cada persona hacer su debida investigación antes de tomar una decisión de inversión.
Las inversiones en criptoactivos no están reguladas. Es posible que no sean apropiados para inversores minoristas y que se pierda el monto total invertido. Los servicios o productos ofrecidos no están dirigidos ni son accesibles a inversores en España.