Según la empresa de infraestructura de activos digitales Fireblocks, más de 15 proveedores y proyectos de monederos de criptomonedas de uso generalizado presentan vulnerabilidades que podrían acabar con millones de criptomonederos.
En un comunicado de prensa publicado el 9 de agosto, Fireblocks afirma que la serie de vulnerabilidades, denominada BitForge, afecta a los monederos que utilizan la tecnología de computación multipartita (MPC), que permite que varias partes controlen y gestionen los holdings de criptomonedas.
1/ The Fireblocks research team has uncovered BitForge, a set of vulnerabilities in some of the most widely adopted MPC protocols, that allow an attacker to retrieve a private key from a single device. Read on → https://t.co/xo2r9zgCvj pic.twitter.com/7q1nEeVBwO
— Fireblocks (@FireblocksHQ) August 9, 2023
1/ El equipo de investigación de Fireblocks ha descubierto BitForge, un conjunto de vulnerabilidades en algunos de los protocolos MPC más adoptados, que permiten a un atacante recuperar una clave privada desde un único dispositivo. Sigue leyendo →
Los problemas detectados se divulgaron como vulnerabilidades de "día cero", lo que significa que los fallos no habían sido identificados previamente por los proyectos.
“Si no se remedian, las vulnerabilidades permitirían a los atacantes y a los intrusos malintencionados drenar fondos de los monederos de millones de clientes minoristas e institucionales en segundos, sin conocimiento del usuario o proveedor.”
La empresa reveló que las vulnerabilidades de BitForge afectaban a muchos de los principales proveedores de monederos, incluidos Coinbase, Zengo y Binance. Tras un "período de divulgación de 90 días" estándar del sector por parte de Fireblocks, las tres empresas han resuelto desde entonces los problemas detectados.
En un comunicado, el director de seguridad de la información de Coinbase, Jeff Lunglhofer, agradeció a Fireblocks la identificación y divulgación responsable del problema, añadiendo que los clientes y fondos de Coinbase nunca estuvieron en peligro. El Director de Tecnología de Zengo, Tal Be'ery, señaló que el problema se solucionó rápidamente y que los fondos de los usuarios no se vieron afectados.
3/ We want to extend our gratitude to the researchers at Fireblocks for identifying this issue, conducting an ethical disclosure, and helping to improve the security of the ecosystem.
— Coinbase Cloud ️ (@CoinbaseCloud) August 9, 2023
3/ Queremos extender nuestra gratitud a los investigadores de Fireblocks por identificar este problema, realizar una divulgación ética y ayudar a mejorar la seguridad del ecosistema.
Fireblocks dijo que ha trabajado para identificar otras empresas que puedan estar implicadas en problemas de seguridad similares, y que se ha puesto en contacto con ellas.
This issue was present in the TSS Library Binance open-sourced, which has been fixed. Thanks to Fireblocks for uncovering it!
— CZ Binance (@cz_binance) August 10, 2023
No @Binance user funds affected.
Even MPC custody solutions have risks. Stay #SAFU! https://t.co/UneRs7VOj7
Este problema estaba presente en la biblioteca TSS de Binance, que ya ha sido corregida. Gracias a Fireblocks por descubrirlo. No hay fondos de usuarios de Binance afectados. Incluso las soluciones de custodia MPC tienen riesgos. ¡Mantente seguro!
El CEO de Binance, Changpeng Zhao, también agradeció a Fireblocks por descubrir la vulnerabilidad: el criptoexchange pudo rectificar los problemas antes de que se produjera algún daño.
Los monederos MPC cifran la clave privada de un usuario y la comparten entre varias partes, normalmente el propietario del monedero, un proveedor de monederos y un tercero. En teoría, ninguna de estas entidades debería poder desbloquear el monedero sin comunicarse antes con las demás.
Sin embargo, según los informes técnicos de Fireblocks sobre las vulnerabilidades de BitForge, estas habrían permitido a los hackers "extraer la clave privada completa si hubieran sido capaces de comprometer un solo dispositivo."
"Si bien nos alienta ver que MPC ahora es omnipresente dentro de la industria de activos digitales, es evidente a partir de nuestros hallazgos -y nuestro posterior proceso de divulgación- que no todos los desarrolladores y equipos de MPC son creados iguales", dijo el director de tecnología y cofundador de Fireblocks, Pavel Berengoltz.
"Las empresas que aprovechan la tecnología Web3 deben trabajar en estrecha colaboración con expertos en seguridad que dispongan de los conocimientos y recursos necesarios para anticiparse a las vulnerabilidades y mitigarlas", añadió.
Aclaración: La información y/u opiniones emitidas en este artículo no representan necesariamente los puntos de vista o la línea editorial de Cointelegraph. La información aquí expuesta no debe ser tomada como consejo financiero o recomendación de inversión. Toda inversión y movimiento comercial implican riesgos y es responsabilidad de cada persona hacer su debida investigación antes de tomar una decisión de inversión
Sigue leyendo:
- El protocolo Earning Farm de Aave sufre un ataque de reentrada - PeckShield
- Hackean la cuenta de X de Blockchain Capital para promocionar una estafa de tokens
- Cypher Protocol congela su contrato inteligente tras un exploit estimado en un millón de dólares
- Blockchain y contratos inteligentes para todos: entrevista con el CEO de Matrix
- Verseon, plataforma de descubrimiento de fármacos, lanza una bolsa de valores basada en blockchain
- Pierre-Edouard Wahl de PwC: La Blockchain puede traer competencia positiva al espacio bancario suizo
- Riot Platforms reduce sus pérdidas del segundo trimestre a USD 27.7 millones