Investigadores de seguridad descubrieron una vulnerabilidad grave que podría permitir a potenciales atacantes robar fondos de wallets de Bitcoin. Los desarrolladores de Bitcoin Core, en conjunto con un grupo de 12 investigadores, advierten a los usuarios que remuevan sus bitcoin de las wallets afectadas.

Los investigadores del proyecto Milk Sad descubrieron la vulnerabilidad cuando investigaban la pérdida reciente de fondos entre usuarios de wallets programadas con Libbitcoin, una librería de código abierto que se utiliza para crear aplicaciones de Bitcoin. Según sus hallazgos, un potencial robo a través de este error se realizó el 12 de julio de 2023, que significó la pérdida de 30 BTC (cerca de USD 850.000). Sin embargo, no desestiman la posibilidad de que hayan ocurrido otros en el pasado o que puedan perpetrarse en el futuro.

De acuerdo con los investigadores, la herramienta Bitcoin Explorer (bx) de Libbitcoin, que se utiliza para crear semillas nmotécnicas fuera de línea (la frase de 12 o 24 semillas aleatorias que encriptan la clave privada de una wallet de Bitcoin), solo genera 4 mil millones de valores únicos diferentes. “El subcomando bx seed para la generación de entropía de clave privada de wallet nueva es defectuoso y produce una salida insegura”, explican los investigadores. El equipo de Optech agrega:

Un atacante que asumió que los valores se usaron para crear claves privadas o billeteras con rutas de derivación particulares (p. ej., siguiendo BIP39), podría potencialmente buscar todas las wallets posibles en un día usando una sola computadora básica, dándoles la capacidad de robar los fondos recibidos a esas llaves o wallets.

Bitcoin Optech, boletín de divulgación de desarrollo en Bitcoin.

Aunque la herramienta bx seed de Libbitcoin no es muy popular, se utiliza ampliamente y existe desde 2011. Una de las razones es que en el libro Mastering Bitcoin, uno de los más leídos sobre aspectos técnicos de Bitcoin, se menciona el procedimiento para crear semillas o wallets con la herramienta.

Otros numerosos sitios también muestran cómo utilizar la herramienta para crear semillas con xb seed de Libbitcoin. Por ejemplo, el sitio en GitHub de Bitcoin Explorer. Como se puede ver en la imagen siguiente, la herramienta es simple. Los investigadores probaron la herramienta desde un entorno que se ejecuta con Shell en Linux.

“Tenemos razones para creer que algunas versiones de Libbitcoin Explorer anteriores a la 3.0.0 también producen una salida de semilla bx débil en algunos entornos de sistema”, concluyen los investigadores.

El error en cuestión de la biblioteca Libbitcoin se expresa a través de las siguientes líneas de comando:

La advertencia para usuarios de Bitcoin que hayan creado wallets a través de esta función es para que muevan sus fondos. “Revise la página de divulgación y potencialmente use el servicio que brindan para probar hashes de semillas vulnerables”, sugiere el equipo de Optech.

“Si usa una wallet u otro software que cree que podría usar Libbitcoin, informe a los desarrolladores sobre la vulnerabilidad y pídales que investiguen”, agregan.