Actualizado el 22 de marzo 07:00 UTC: Este artículo ha sido actualizado para incluir correcciones fácticas destacadas por BitGo.

La billetera de criptomonedas BitGo ha parcheado con éxito una vulnerabilidad relacionada con sus billeteras de Ethereum y ERC-20, Threshold Signature Scheme (TSS), lanzados recientemente.

El lanzamiento de las billeteras calientes ETH TSS se anunció el 31 de octubre de 2022 y se promocionó para permitir tarifas de gas más bajas para los usuarios. Las notas del desarrollador de BitGo en Github comprometidas el 9 de diciembre de 2022 señalaron que el servicio no tenía soporte completo para la verificación de terceros de las acciones de clave y las acciones de firma.

La empresa de infraestructura de blockchain Fireblocks afirmó haber identificado y notificado a BitGo la vulnerabilidad en diciembre de 2022. En un comunicado de prensa se afirmaba que la vulnerabilidad tenía el potencial de exponer claves privadas de bolsas, bancos, empresas y usuarios de la plataforma.

BitGo ha refutado estas afirmaciones en una entrada de blog, destacando el hecho de que su propio equipo de desarrollo había señalado que la falta de verificación de terceros estaba en su lista de tareas pendientes según la documentación de GitHub. El proveedor de servicios de monedero también mantiene que los fondos de los usuarios o las claves privadas nunca estuvieron en riesgo de ser comprometidos o revelados a través de la vulnerabilidad.

Cointelegraph entiende que los clientes de BitGo no estaban utilizando activamente el tipo de billetera MPC en cuestión para almacenar criptoactivos. Actualmente, 20 desarrolladores tienen acceso a la cartera en acceso anticipado, incluidos empleados y colaboradores de BitGo, mientras que la naturaleza de código abierto del código central de la billetera de BitGo permitió a los ingenieros de Fireblock llevar a cabo pruebas también.

Tras revelar el año pasado la falta de verificación por terceros de las claves y firmas compartidas, el blog de BitGo tachó a Fireblock de "competidor" que intentaba convertir una "laguna conocida en un truco publicitario".

El comunicado de prensa inicial del equipo Fireblocks explicaba cómo identificaron el exploit utilizando una cuenta gratuita de BitGo en mainnet. Una parte que faltaba en las pruebas obligatorias de conocimiento-cero del protocolo de billetera ECDSA TSS de BitGo permitió al equipo exponer la clave privada mediante un sencillo ataque.

Fireblocks afirma que la vulnerabilidad permitiría a posibles atacantes extraer rápidamente una clave privada utilizando una pequeña cantidad de código JavaScript. BitGo suspendió el servicio vulnerable el 10 de diciembre y publicó un parche en febrero de 2023 que exigía actualizaciones del lado del cliente a la última versión antes del 17 de marzo.

Las plataformas de activos de criptomoneda de nivel empresarial estándar del sector utilizan tecnología de computación multiparte (MPC/TSS) o multifirma para eliminar la posibilidad de un único punto de ataque. Esto se hace distribuyendo una clave privada entre varias partes, para garantizar los controles de seguridad si una de las partes se ve comprometida.

Los hackeos de billeteras han sido habituales en el sector de las criptomonedas en los últimos años. En agosto de 2022, se robaron más de USD 8 millones de más de 7,000 billeteras Slope basados en Solana. El servicio de monederos de la red Algorand, MyAlgo, también fue objeto de un hackeo de monederos en el que se sustrajeron más de 9 millones de dólares de varios monederos de alto perfil.

Aclaración: La información y/u opiniones emitidas en este artículo no representan necesariamente los puntos de vista o la línea editorial de Cointelegraph. La información aquí expuesta no debe ser tomada como consejo financiero o recomendación de inversión. Toda inversión y movimiento comercial implican riesgos y es responsabilidad de cada persona hacer su debida investigación antes de tomar una decisión de inversión