Un investigador en computación encuentra una vulnerabilidad de billetera que generó la misma clave para múltiples usuarios

WalletGenerator.net, el creador de billetera de papel criptomonedas en línea, se ejecutaba anteriormente en un código que provocaba que se emitieran pares de clave pública/clave privada a múltiples usuarios. La vulnerabilidad fue descrita en una publicación oficial del blog realizada por el investigador de seguridad Harry Denley de MyCrypto, el 24 de mayo.

Según la publicación, el código incorrecto estaba vigente en agosto del 2018, y fue actualizado recientemente a partir del 23 de mayo. El código en vivo en el sitio web se supone que es de código abierto y auditado en GitHub, pero se detectaron diferencias entre los dos. Después de investigar el código en vivo, Denley concluyó que las claves fueron generadas de manera determinista en la versión en vivo del sitio web, no al azar.

En una de las pruebas de MyCrypto entre el 18 y el 23 de mayo, intentaron usar el generador masivo del sitio web para hacer 1,000 llaves. La versión de GitHub devolvió 1,000 claves únicas, pero el código en vivo devolvió 120 claves. Según se informa, la ejecución del generador masivo siempre devolvió 120 claves únicas en lugar de 1.000, incluso cuando se modificaron otros factores, incluidas las actualizaciones del navegador, los cambios de VPN o los cambios de usuario.

Se necesita aleatoriedad para generar los emparejamientos de claves para que las billeteras de papel estén seguras. Como el post lo pone:

“ELI5: Al generar una clave, toma un número súper aleatorio, lo convierte en la clave privada y lo convierte en la clave/dirección pública. Sin embargo, si el número "superaleatorio" es siempre "5", la clave privada que se genera siempre será la misma. Por eso es tan importante que el número súper aleatorio sea realmente aleatorio... no '5'".

WalletGenerator reparó el problema del determinismo después de que MyCrypto se contactara durante la mitad de su investigación. WalletGenerator supuestamente respondió después diciendo que las acusaciones no pudieron ser verificadas, e incluso le preguntó al corresponsal si MyCrypto era un "sitio web de phishing".

MyCrypto agregó que los usuarios que generaron pares de llaves después del 17 de agosto del 2018 deberían mover sus fondos inmediatamente a una billetera diferente y recomendaron no usar WalletGenerator.net.

Como se informó anteriormente por Cointelegraph, un llamado "bandido de blockchain" se escapó con aproximadamente 45,000 ether (ETH) al adivinar claves privadas débiles en la blockchain de Ethereum.

Puede interesarte:

"Bandido blockchain": Cómo un hacker ha estado robando millones de dólares de ETH al adivinar claves privadas débiles

Entrevista al congresista de Colombia, Mauricio Toro: "La privacidad y la descentralización son principios rectores de las criptomonedas”

Chile: Lanzan una plataforma inmobiliaria basada en tecnología blockchain