Caza de recompensas fallida: Billetera "Inhackeable" Bitfi niega haber sido pirateada

En julio, el presidente ejecutivo de Bitfi, John McAfee, fabricante de billeteras de hardware de criptomonedas, afirmó que Bitfi era "el primer dispositivo no pirateable del mundo", e instó a los expertos en seguridad a romper su seguridad por una recompensa de 100.000 dólares.

Desde entonces, han surgido una serie de informes que sugieren que Bitfi no es, de hecho, "inhackeable", sólo para ser despedido por el servicio de billeteras, así como por el propio McAfee, lo que hace que la caza de recompensas parezca un truco de relaciones públicas de mal gusto.

¿Qué es Bitfi?

Esencialmente, Bitfi es un dispositivo físico - o una billetera de "hardware" - que soporta "una cantidad ilimitada de criptomonedas" que cuesta 120 dólares, según su website. Aunque no hay datos de contacto reales (aparte de las direcciones de correo electrónico), la empresa está registrada en Londres, de acuerdo con Companies House data. El CEO de Bitfi es el empresario estadounidense de 38 años Daniel Khesin.

El proyecto surgió por primera vez en julio, cuando el infame inversor John McAfee -que una vez prometió "comerse su propio pene en la televisión nacional" si el precio de Bitcoin no alcanzaba los 500.000 dólares en 2020- estrenó la cripto billetera en su Twitter. Él llamó Bitfi " una Colt 45 del cripto mundo " y " el primer dispositivo inhackeable del mundo ". Para demostrar su punto de vista, McAfee anunció una caza de recompensas: 100.000 dólares irían a la primera persona que piratee el nuevo dispositivo. "El dinero habla, la basura camina", se burló de los escépticos y más tarde aumentó la apuesta a 250.000 dólares.

Notablemente, a diferencia de la mayoría de las otras billeteras de hardware, Bitfi no pone tanto énfasis en las claves privadas, según su website:

"La billetera de hardware de Bitfi resuelve este problema de seguridad de una vez por todas de la forma más elegante posible: las claves privadas simplemente no se almacenan en ningún sitio, nunca. Esta es otra capa de seguridad que va más allá de mantener la clave privada fuera del entorno informático o de dispositivos con acceso a Internet. Por lo tanto, incluso si su billetera de hardware Bitfi es incautada o robada, no hay nada que nadie pueda hacer para extraer las claves privadas porque no están en el dispositivo en primer lugar".

En cambio, su sistema de seguridad gira en torno a una frase secreta generada por el usuario -que supuestamente puede memorizarse- en lugar de una semilla mnemotécnica convencional de 24 palabras que supuestamente contribuye a la seguridad de los activos almacenados. De esta forma, el equipo de Bitfi argumenta que las claves privadas no se mantienen en absoluto en el dispositivo:

"En la billetera de Bitfi, su clave privada se calcula utilizando nuestro algoritmo cada vez que escribe su frase secreta. Una vez aprobada una transacción, la clave privada no se almacena en la memoria local. La clave privada no existe en el dispositivo hasta que vuelva a escribir su frase secreta. Por lo tanto, si su dispositivo es robado o confiscado, no hay manera de obtener acceso a la clave privada porque no está en el dispositivo y sus fondos siempre permanecen seguros y no hay absolutamente ninguna razón para alarmarse o preocuparse si su dispositivo se pierde o es robado".

Finalmente, Bitfi argumenta que su producto es "completamente de código abierto", lo que significa que el usuario supuestamente mantiene el control de sus fondos en cualquier escenario, siempre que recuerde la frase secreta antes mencionada. La billetera tampoco tiene espacio para el "error humano", afirman los creadores, porque se actualiza estrictamente de forma automática a través de WiFi y el usuario no puede descargar ningún software manualmente.

La caza de recompensas rápidamente salió mal

El sitio web de Bitfi elabora sobre el programa de recompensas, enumerando una serie de "reglas": Esencialmente, aquellos que deseen participar tienen que comprar una billetera Bitfi precargada con monedas por $10 adicionales (la billetera misma cuesta $120, como se mencionó anteriormente).

El objetivo final para el participante es extraer con éxito las monedas y vaciar la billetera, mientras que la empresa supuestamente concede "a cualquiera que participe en esta recompensa permiso para utilizar todos los vectores de ataque posibles, incluidos nuestros servidores, nodos y nuestra infraestructura".

"Lo anterior es lo que consideramos un hackeo exitoso", dice el sitio web de Bitfi: "Nada más calificará".

McAfee anunció la caza el 24 de julio. En una semana, empezaron a surgir informes de hackeo. El 1 de agosto, el personaje cripto de los Países Bajos OverSoft tuiteó (haciendo referencia a otros usuarios, a saber Saleem Rashid, el presunto quinceañero que reveló una vulnerabilidad de seguridad en la billetera de hardware de otro Ledger en 2017, y Andrew Tierney, un consultor de seguridad de la firma Pen Test Partners): "Tenemos acceso root, un firmware parcheado y podemos confirmar que la cartera BitFi sigue conectada felizmente al tablero." OverSoft más tarde publicó Listados de directorios del ROM BitFi.

Bitfi no respondió directamente al tweet original de OverSoft. Sin embargo, la billetera pronto anunció una segunda caza de recompensas - esta vez con una recompensa mucho más modesta de $10,000 - alterando las reglas y procediendo a reclamar que todas las violaciones de seguridad reportadas no cumplieron con las condiciones de la recompensa y, por lo tanto, el dispositivo no ha sido pirateado: "Arraigar[es decir, obtener acceso administrativo] al dispositivo no significa que haya sido pirateado", argumenta el equipo de Bitfi.

Pronto, BitFi escribió en Twitter que la persona que manejaba su cuenta fue "despedida por muchos comentarios arrogantes[e] insultantes a los investigadores inteligentes", pero continuó reforzando la idea de que su servicio no había sido "pirateado". "Su recompensa sólo cubre un único vector de ataque y excluye el backdooring del dispositivo", respondió Tiernay .

"Teléfono Android barato y desarmado"

Pen Test Partners, que publicó una serie de blogs sobre la piratería de Bitfi, afirmó que, en lo que respecta al hardware, "el Bitfi es un Mediatek MT6580 desarmado [...] Es un teléfono Android, menos algunos componentes". "Alguien probablemente tendrá a Doom corriendo en él para el viernes," comentó Ryan Castellucci, un autoproclamado "ingeniero de software y hacker de hardware", llamando al dispositivo "un teléfono Android barato y desarmado". En consecuencia, en un episodio posterior de su serie "hacking Bitfi", Pen Test Partners publicó un vídeo que supuestamente demostraba que el dispositivo Bitfi tiene almacenamiento: En ella, la billetera muestra un video subido de John Mcafee. El sitio web de Bitfi, a su vez, sigue refiriéndose a su billetera como " el instrumento más sofisticado del mundo".

Bitfi desestimó las afirmaciones de Saleem Rashid, citando su decisión de no reclamar la recompensa. En respuesta, Rashid retuiteó al investigador de criptomonedas y ciberseguridad Alan Woodward, quien también había discutido el hack de Bitfi en el mismo hilo de Twitter.

"No es especulación basada en lo que estoy viendo," había escrito Woodward, continuando:
"Y no queremos su dinero. Dáselo a la caridad. Nos preocupa que otros confíen su dinero a algo que no es seguro de la manera que parece sugerir".

"Ejército de trolls": La respuesta de Bitfi a las críticas

Sin embargo, a pesar de haber despedido a su empleado de los medios sociales, Bitfi sigue repudiando -e incluso amenazando- a sus críticos a través de los medios sociales: Por ejemplo, el equipo de la billetera preguntó a Woodward si pudieran "alterar[una] fotografía de[su] rostro con algo humillante añadido", en respuesta a su preocupación por la supuesta difusión de discursos de odio por parte del afiliado de Bitfi mientras defiende la billetera.

El 1 de agosto, un portavoz oficial de Bitfi fue aún más lejos y dijo a Hard Fork que la reciente crítica a la seguridad de la billetera en Twitter fue, de hecho, producto de un "ejército de trolls" contratados por los competidores de billeteras Trezor y Ledger - el fundador y CEO de Trezor ha negado la acusación. El portavoz de Bitfi declaró:

"Por favor, entiendan que la billetera Bitfi es una gran amenaza para Ledger y Trezor porque hace que su tecnología sea obsoleta [...] Así que contrataron a un ejército de trolls para tratar de arruinar nuestra reputación (lo cual está bien porque la verdad siempre prevalece)".

Mientras tanto, el CEO de Bitfi, Daniel Khesin, seguía manteniendo una posición escéptica hacia Rashid, desafiándole a aceptar el dinero si, de hecho, había comprometido el dispositivo, lo que contribuía al enfoque general inmaduro que su empresa adoptó al tratar de manejar las críticas:

"La persona que afirma haber descifrado la recompensa no se ha presentado para probarlo y ha tuiteado hace cinco minutos que no perseguirá la recompensa porque no vale la pena su tiempo", dijo a Cointelegraph.

"Sin embargo, tuiteó a todo el mundo esta mañana que hackeó nuestra billetera. Creo que es una vergüenza para cualquier ser humano hacer algo así, pero dejaré que tú juzgues".