Un equipo de investigadores de la empresa de infraestructura de criptomonedas Fireblocks ha revelado un conjunto de vulnerabilidades que afectan a más de 15 de los principales proveedores de wallets de activos digitales lo que podría suponer millones de wallets de criptomonedas en un estado de vulnerabilidad a ser drenadas.
El 10 de Agosto, Fireblocks acudió a X para revelar la serie de vulnerabilidades, del denominado «BitForge» que se enfoca en algunos de los proveedores de tecnología de cálculo multipartito (MPC) más adoptados. El MPC es un protocolo criptográfico que permite a varias partes realizar cálculos sobre sus datos sin revelárselos entre sí ni a terceros.
FIREBLOCKS SEÑALA VULNERABILIDADES MASIVAS
Según una prensa, los principales problemas de seguridad que se han clasificado como problemas de «día cero» y son vulnerabilidades podrían afectar a algunos de los protocolos MPC más utilizados, incluidos GG-18, GG-20 e implementaciones de Lindell 17.
BitForge podría permitir a un atacante exfiltrar las claves privadas de un usuario debido a la falta de una prueba de conocimiento-cero en los protocolos MPC GG-18 y GG-20. Por su parte, la vulnerabilidad que afectaba al protocolo Lindell 17 se debía a que los proveedores de las wallets se alejaban de las especificaciones establecidas en el documento académico, lo que creaba una puerta trasera para que los atacantes expusieran parte de la clave privada cuando fallaba la firma.
Igualmente, Fireblocks puso de manifiesto las vulnerabilidades que habrían permitido a los hackers «extraer la clave privada completa si sólo pudieran comprometer un dispositivo.» La empresa de infraestructuras de criptomonedas señaló que la vulnerabilidad de BitForge ya ha afectado a proveedores de wallets populares como Coinbase WaaS, Zengo y Binance, y que más de otros 12 servicios siguen en peligro.
LOS PROVEEDORES DE WALLETS TOMAN MEDIDAS ACTIVAS PARA ARREGLAR BITFORGE
Sin embargo, siguiendo la norma industrial sobre el «Periodo de divulgación de 90 días» de Fireblocks, Coinbase, Zengo y Binance han dispuesto del tiempo para el corregir y resolver desde entonces los problemas detectados.
Aparte de las tres empresas, Fireblocks especificó que se sabe que otros numerosos proveedores de wallets también se han visto afectados por la vulnerabilidad de BitForge, añadiendo,
«Si no se solucionan, las exposiciones permitirían a los atacantes y a los actores maliciosos el drenar los fondos de las wallets de millones de clientes minoristas e institucionales en cuestión de segundos, sin que el usuario o el proveedor lo supieran.»
En respuesta a la divulgación del problema, Coinbase reconoció, afirmando que si bien su producto de consumo Coinbase Wallet no se vio afectado por el problema, las versiones anteriores de su Wallet como un servicio utilizaban algunas de las bibliotecas en cuestión. Jeff Lunglhofer, Director de Seguridad de la Información de Coinbase agrego,
«Nos gustaría agradecer a Fireblocks por identificar y revelar responsablemente este problema. Aunque los clientes y fondos de Coinbase nunca estuvieron en riesgo, mantener un modelo criptográfico totalmente libre de confianza es un aspecto importante de cualquier implementación de MPC.»
NO ES ORO TODO LO QUE RELUCE
Los wallets MPC, promocionados por su mayor seguridad, permiten que varias partes evalúen un cálculo sin revelar ninguna información privada o datos secretos relacionados que posea cada parte. Es una tecnología que ofrece una solución al problema del intercambio de datos, ayudando a crear una nueva atmósfera en línea en la que las partes pueden acceder a ciertos tipos de datos sin comprometer la seguridad de la información de otras personas o la suya propia.
Aunque esto la convierte en una solución ideal para procesar información muy sensible, esta tecnología se enfrentó a una brecha de seguridad masiva a principios de este año, con el puente Multichain MPC siendo hackeado el 7 de Julio, haciendo perder a los inversores más de $100 millones.
Además, los wallets MPC pueden ser más complejos de utilizar que otros tipos de wallets. Otras limitaciones del uso de wallets MPC son la sobrecarga computacional y los elevados costes de comunicación.
