La desaparición de $900,000 pone el foco en el antiguo proyecto Bitcoin Libbitcoin

• La empresa de seguridad informática Distrust afirma que se robaron al menos 900.000 dólares en total en múltiples cadenas de bloques.
• Los piratas informáticos pudieron explotar una vulnerabilidad en el explorador Libbitcoin, una herramienta de línea de comandos de código abierto o una interfaz de texto utilizada por los desarrolladores de Bitcoin para producir claves criptográficas y comunicarse con la cadena de bloques.

En 2011, apenas dos años después del lanzamiento de Bitcoin , el desarrollador anarquista británico-iraní Amir Taakia y un grupo de codificadores de código abierto crearon una alternativa a Bitcoin CORE : la forma original y aún la más popular de conectarse a la red Bitcoin .

Ese software alternativo, llamado Libbitcoin, ha evolucionado hasta convertirse en un conjunto integral de herramientas (una biblioteca) para funciones cruciales, como la comunicación con la cadena de bloques de Bitcoin y la generación de claves criptográficas.

Incluso apareció en el popular y posiblemente canónico libro del educador de Bitcoin , Andreas Antonopoulos. Dominando Bitcoin.

Pero después de que aproximadamente 900.000 dólares desaparecieran de varias billeteras de usuarios en los últimos meses, Libbitcoin, que alguna vez se consideró segura, resultó ser insegura.

Así se desarrolló la última saga, según un informe demilksad.info, que detalla los hallazgos deDesconfianza, la empresa de seguridad que descubrió la vulnerabilidad en julio, con la ayuda de un grupo de Colaboradores independientes.

En algún momento de mayo, los piratas informáticos comenzaron a robar fondos en secreto de usuarios desprevenidos después de descubrir una oscura vulnerabilidad en una serie de billeteras generadas por el explorador Libbitcoin, llamadaBX.

La vulnerabilidad se denominó “Milk Sad” porque “milk” y “sad” eranlas dos primeras palabrasen una frase semilla de recuperación de billetera generada por la vulnerabilidad, afirma el informe.

El robo más significativo: 29,65 Bitcoin (BTC) con un valor aproximado de $870,000 al tipo de cambio actual, tuvo lugar el 12 de julio. Distrust dice que se robaron al menos $900,000 en total en múltiples cadenas de bloques, incluidas algunas de las aproximadamente 2,600 billeteras de Bitcoin afectadas por la vulnerabilidad.

Las billeteras de hardware como Trezor y Ledger parecen haber salido ilesas, pero aún hay varias billeteras en riesgo y la cantidad total de dinero robado "aún está por determinar".de acuerdo aa un tuit del 8 de agosto de Anton Livaja, miembro del equipo de Distrust.

BX viene con un comando de texto llamado “bx seed” que utiliza el reloj de la computadora de un desarrollador para producir una frase semilla para crear una billetera.

El software de Cripto proporciona combinaciones aleatorias de 12 a 24 palabras o frases iniciales a los usuarios que desean “recuperar” o recuperar el acceso a sus billeteras en caso de pérdida accidental.

Pero al usar BX, la frase resultante resulta ser insuficientemente aleatoria. Según el informe, «un buen ordenador para juegos puede realizar una búsqueda por fuerza bruta» o adivinar todas las combinaciones posibles de palabras para la frase inicial de un usuario «en menos de un día».

“Piense en esto como proteger su cuenta bancaria en línea con un administrador de contraseñas que crea una contraseña larga y aleatoria”, afirma el informe. “Pero a menudo crea las mismas contraseñas para todos los usuarios. Personas maliciosas lo han descubierto y han vaciado los fondos de cualquier cuenta que encuentren”.

Ethereum, Zcash, Solana y Dogecoin se vieron afectados

Milk Sad no se limita a Bitcoin. Ethereum, Zcash, Solana e incluso Dogecoin se encuentran entre las ocho cadenas de bloques afectadas. Se han detectado vulnerabilidades similares, pero no idénticas, en... Cartera de CAKE y Cartera de confianza, ambas son aplicaciones de billetera multicadena.

Normalmente, las frases semilla se crean utilizando un generador capaz de producir un conjunto o “espacio clave” con una cantidad vertiginosa de combinaciones de palabras únicas representadas por el exponente de un dígito binario o “BIT”, esencialmente, el número dos elevado a la potencia de 128, 192 o 256.

BX tiene un espacio de claves insignificante de 32 BIT que solo puede generar unos 4300 millones de combinaciones únicas de palabras. «No son tantas combinaciones como parece», según el informe.

Eric Voskuil, desarrollador principal de BX, admitió que el generador de semillas era inseguro, pero insistió en que no había ningún error en el software, argumentando que el comando bx seed text se había utilizado indebidamente. Tuiteó una captura de pantalla de la documentación de GitHub de la aplicación que advierte a los desarrolladores sobre la vulnerabilidad.

“Esto no es un error de BX ni de Libbitcoin”, dijo Voskuil.tuiteó“Es un desarrollo de billetera imprudente”.

Varios criptógrafos de la comunidad Bitcoin no estuvieron de acuerdo.

“El caso es clarísimo”tuiteó Tim Ruffing, criptógrafo de Blockstream, empresa de infraestructura de Bitcoin . «Es tu problema, y ​​punto».