Fireblocks revela una vulnerabilidad masiva que afecta los monederos de criptomonedas
Según la empresa de infraestructura de activos digitales Fireblocks, más de 15 proveedores y proyectos de monederos de criptomonedas de uso generalizado presentan vulnerabilidades que podrían acabar con millones de criptomonederos.
En un comunicado de prensa publicado el 9 de agosto, Fireblocks afirma que la serie de vulnerabilidades, denominada BitForge, afecta a los monederos que utilizan la tecnología de computación multipartita (MPC), que permite que varias partes controlen y gestionen los holdings de criptomonedas.
1/ The Fireblocks research team has uncovered BitForge, a set of vulnerabilities in some of the most widely adopted MPC protocols, that allow an attacker to retrieve a private key from a single device. Read on → https://t.co/xo2r9zgCvj pic.twitter.com/7q1nEeVBwO
— Fireblocks (@FireblocksHQ) August 9, 2023
1/ El equipo de investigación de Fireblocks ha descubierto BitForge, un conjunto de vulnerabilidades en algunos de los protocolos MPC más adoptados, que permiten a un atacante recuperar una clave privada desde un único dispositivo. Sigue leyendo →
Los problemas detectados se divulgaron como vulnerabilidades de “día cero”, lo que significa que los fallos no habían sido identificados previamente por los proyectos.
“Si no se remedian, las vulnerabilidades permitirían a los atacantes y a los intrusos malintencionados drenar fondos de los monederos de millones de clientes minoristas e institucionales en segundos, sin conocimiento del usuario o proveedor.”
La empresa reveló que las vulnerabilidades de BitForge afectaban a muchos de los principales proveedores de monederos, incluidos Coinbase, Zengo y Binance. Tras un “período de divulgación de 90 días” estándar del sector por parte de Fireblocks, las tres empresas han resuelto desde entonces los problemas detectados.
En un comunicado, el director de seguridad de la información de Coinbase, Jeff Lunglhofer, agradeció a Fireblocks la identificación y divulgación responsable del problema, añadiendo que los clientes y fondos de Coinbase nunca estuvieron en peligro. El Director de Tecnología de Zengo, Tal Be’ery, señaló que el problema se solucionó rápidamente y que los fondos de los usuarios no se vieron afectados.
3/ We want to extend our gratitude to the researchers at Fireblocks for identifying this issue, conducting an ethical disclosure, and helping to improve the security of the ecosystem.
— Coinbase Cloud ️ (@CoinbaseCloud) August 9, 2023
3/ Queremos extender nuestra gratitud a los investigadores de Fireblocks por identificar este problema, realizar una divulgación ética y ayudar a mejorar la seguridad del ecosistema.
Fireblocks dijo que ha trabajado para identificar otras empresas que puedan estar implicadas en problemas de seguridad similares, y que se ha puesto en contacto con ellas.
This issue was present in the TSS Library Binance open-sourced, which has been fixed. Thanks to Fireblocks for uncovering it!
No @Binance user funds affected.
Even MPC custody solutions have risks. Stay #SAFU! https://t.co/UneRs7VOj7
— CZ Binance (@cz_binance) August 10, 2023
Este problema estaba presente en la biblioteca TSS de Binance, que ya ha sido corregida. Gracias a Fireblocks por descubrirlo. No hay fondos de usuarios de Binance afectados. Incluso las soluciones de custodia MPC tienen riesgos. ¡Mantente seguro!
El CEO de Binance, Changpeng Zhao, también agradeció a Fireblocks por descubrir la vulnerabilidad: el criptoexchange pudo rectificar los problemas antes de que se produjera algún daño.
Los monederos MPC cifran la clave privada de un usuario y la comparten entre varias partes, normalmente el propietario del monedero, un proveedor de monederos y un tercero. En teoría, ninguna de estas entidades debería poder desbloquear el monedero sin comunicarse antes con las demás.
Sin embargo, según los informes técnicos de Fireblocks sobre las vulnerabilidades de BitForge, estas habrían permitido a los hackers “extraer la clave privada completa si hubieran sido capaces de comprometer un solo dispositivo.”
“Si bien nos alienta ver que MPC ahora es omnipresente dentro de la industria de activos digitales, es evidente a partir de nuestros hallazgos -y nuestro posterior proceso de divulgación- que no todos los desarrolladores y equipos de MPC son creados iguales”, dijo el director de tecnología y cofundador de Fireblocks, Pavel Berengoltz.
“Las empresas que aprovechan la tecnología Web3 deben trabajar en estrecha colaboración con expertos en seguridad que dispongan de los conocimientos y recursos necesarios para anticiparse a las vulnerabilidades y mitigarlas”, añadió.
Aclaración: La información y/u opiniones emitidas en este artículo no representan necesariamente los puntos de vista o la línea editorial de Cointelegraph. La información aquí expuesta no debe ser tomada como consejo financiero o recomendación de inversión. Toda inversión y movimiento comercial implican riesgos y es responsabilidad de cada persona hacer su debida investigación antes de tomar una decisión de inversión
Sigue leyendo:
Las inversiones en criptoactivos no están reguladas. Es posible que no sean apropiados para inversores minoristas y que se pierda el monto total invertido. Los servicios o productos ofrecidos no están dirigidos ni son accesibles a inversores en España.