El director de tecnología de Lightning Labs, la firma detrás de la red de escalabilidad de Bitcoin, ha minimizado la importancia de un supuesto nuevo error que permitiría a los atacantes drenar fondos de los nodos de Lightning.
“Según la información que hemos recibido hasta ahora, parece que se trata de un caso en el que la máquina del usuario fue comprometida”, dijo Olaoluwa Osuntokun, director de tecnología de Lightning Labs, el 19 de febrero tras el descubrimiento de la vulnerabilidad.
El cofundador de Satoshi Labs, Pavol Rusnak, reportó el error en una alarmante publicación en X el 19 de febrero, advirtiendo a los usuarios que ejecutan versiones antiguas de Lightning Network Daemon (LND) anteriores a la 0.18.5 y/o Lightning Terminal anteriores a la 0.14.1 que “dejen lo que están haciendo y actualicen de inmediato”, antes de agregar: “Los ladrones están drenando fondos utilizando exploits que fueron corregidos en estas versiones”.
Fuente: Olaoluwa Osuntokun
Sin embargo, Osuntokun dijo que el error no parece ser un problema con LND, que es una implementación completa de un nodo de Lightning Network, y que en cambio se debió a la vulnerabilidad en la máquina del usuario.
Cointelegraph se puso en contacto con Osuntokun y Lightning Labs para obtener más información, pero no recibió una respuesta inmediata.
La Lightning Network es la solución de escalado de capa 2 de Bitcoin, que tiene una capacidad actual de 5.145 BTC, por un valor aproximado de 500 millones de dólares a los precios actuales.
Amenaza de extracción de claves privadas
Hace solo una semana, otro Bitcoiner advirtió sobre otra posible vulnerabilidad que afecta a la red de Bitcoin, la cual fue publicada en GitHub el 13 de febrero.
La entrada en GitHub advertía sobre una debilidad crítica en la implementación de la firma ECDSA (Algoritmo de Firma Digital de Curva Elíptica) que podría llevar a la exposición de claves privadas.
La biblioteca elliptic es un paquete de JavaScript utilizado para operaciones de criptografía de curva elíptica que emplea Bitcoin. El error podría haber resultado en el reutilizo de nonces, que son números aleatorios de un solo uso para firmas criptográficas. Si el mismo nonce se utiliza para firmar diferentes mensajes, la clave privada podría ser extraída matemáticamente en teoría.
Alerta de seguridad de Elliptic. Fuente: GitHub
Cuando se les preguntó sobre el posible impacto en los billeteras de Bitcoin, los expertos en seguridad de PeckShield dijeron a Cointelegraph que “siempre se recomienda asegurarse de que la billetera de Bitcoin utilizada esté actualizada y que el paquete elíptico vulnerable, si se usa, esté parcheado o actualizado”.
Mientras tanto, el equipo de Security Alliance dijo a Cointelegraph que “las billeteras estarán bien si siguen estrictamente los protocolos correctos y “los nonces se derivan de forma determinista a partir del mensaje hash, su conversión de entrada a bytes no es errónea y no permiten la inyección de nonces personalizados”.
Aclaración: La información y/u opiniones emitidas en este artículo no representan necesariamente los puntos de vista o la línea editorial de Cointelegraph. La información aquí expuesta no debe ser tomada como consejo financiero o recomendación de inversión. Toda inversión y movimiento comercial implican riesgos y es responsabilidad de cada persona hacer su debida investigación antes de tomar una decisión de inversión.