Un usuario anónimo de Pastebin afirmó haber descubierto pruebas de que algún software de billetera de Bitcoin puede generar claves privadas que pueden identificarse y piratearse fácilmente.

La revelación se produce después de que otra persona haya hecho una publicación de Reddit describiendo cómo perdieron nueve BTC debido a un error de transacción en el servicio de billetera Blockchain.info.

El usuario de Pastebin, sin embargo, no reveló el software de monedero específico que puede verse afectado y si la vulnerabilidad del software es intencional o simplemente un error de codificación simple.

Según el usuario anónimo, varios usuarios de la plataforma Blockchain.info ya son conscientes de la vulnerabilidad y han 'jugado' con la cadena enviando pequeñas cantidades de Bitcoins a las direcciones correspondientes a las claves privadas generadas por el software malicioso.

"Si miras en la Blockchain, encontrarás que la gente ha 'jugado' con la cadena enviando pequeñas cantidades de Bitcoins a las direcciones correspondientes a las claves privadas generadas usando Sha256... Es bastante obvio que estos 'querían ser encontrados'. Resulta que hay muchas de estas direcciones. (Sigue buscando y encontrarás fácilmente.) Esto no es nada nuevo y ha sido conocido por la comunidad Bitcoin por un tiempo."

Cómo el usuario descubrió el software malicioso

De acuerdo con el usuario de Pastebin, usó varios datos disponibles públicamente en Blockchain para determinar si podrían haber sido utilizados para crear billeteras. Utilizó hashes de bloques para cada bloque desde el Bloque Génesis, raíces de Merkle de cada bloque, palabras comunes y frases que se han procesado varias veces, y finalmente comenzó a probar todas las direcciones de Bitcoin.

También descargó un índice completo de todas las direcciones de Bitcoin que se listaron públicamente en Blockchain y comenzó a descubrir claves que podrían tener algunos bits asociados con ellas. En sus experimentos, descubrió más de 40 direcciones de Bitcoin que se utilizaron en ciertos puntos en los últimos siete años a partir de noviembre del 2017 para enviar Bitcoin.

El usuario Pastebin también ha sospechado que un servicio de custodia de billetera de terceros como un sitio de juegos de apuestas, un grupo de minería o un monedero web directo podría tener códigos maliciosos en su back-end que pueden generar claves privadas basadas en direcciones públicas.

A partir del momento de la publicación, el usuario de Blockchain.info ha confirmado que los fondos han sido devueltos:

"Los nueve BTC han sido devueltos, la persona encontró mi publicación en Reddit y me contactó esta mañana. Él quiere permanecer en el anonimato, sin embargo, ha encontrado un problema con Blockchain.info y actualmente está trabajando con ellos para resolver el problema."