Las carteras Bitcoin creadas entre 2011 y 2015 son susceptibles a un nuevo tipo de exploit llamado tormenta eso hace posible recuperar contraseñas y obtener acceso no autorizado a una multitud de billeteras que abarcan varias plataformas blockchain.
“Randstorm() es un término que acuñamos para describir una colección de errores, decisiones de diseño y cambios de API que, cuando entran en contacto entre sí, se combinan para reducir drásticamente la calidad de los números aleatorios producidos por los navegadores web de una determinada época ( 2011-2015),” Sin cifrar revelado en un informe publicado la semana pasada.
Se estima que aproximadamente 1,4 millones de bitcoins están almacenados en billeteras generadas con claves criptográficas potencialmente débiles. Los clientes pueden comprobar si sus billeteras son vulnerables en www.keybleed[.]com.
La empresa de recuperación de criptomonedas dijo que redescubrió el problema en enero de 2022 mientras estaba trabajando para un cliente anónimo que había sido bloqueado de su billetera Blockchain.com. El problema era primero resaltado allá por 2018 por un investigador de seguridad que se conoce con el alias de “ketamina”.
El quid de la vulnerabilidad surge del uso de BitcoinJSun paquete JavaScript de código abierto que se utiliza para desarrollar aplicaciones de billetera de criptomonedas basadas en navegador.
Especialmente, Randstorm tiene sus raíces en la dependencia del paquete de la función SecureRandom() en el Biblioteca javascript JSBN junto con las debilidades criptográficas que existían en ese momento en la implementación de la función Math.random() en los navegadores web, lo que permitía una generación débil de números pseudoaleatorios. Los mantenedores de BitcoinJS suspendieron el uso de JSBN en marzo de 2014.
Como resultado, la falta de entropía suficiente podría aprovecharse para realizar ataques de fuerza bruta y recuperar las claves privadas de la billetera generadas con la biblioteca BitcoinJS (o sus proyectos dependientes). Las carteras más fáciles de abrir fueron aquellas que se generaron antes de marzo de 2012.
Una vez más, los hallazgos arrojan nueva luz sobre las dependencias de código abierto que impulsan la infraestructura de software y cómo las vulnerabilidades en dichas bibliotecas fundamentales pueden tener riesgos en cascada en la cadena de suministro, como se puso de manifiesto anteriormente en el caso de Apache Log4j a finales de 2021.
“La falla ya estaba integrada en las billeteras creadas con el software, y permanecería allí para siempre a menos que los fondos se transfirieran a una nueva billetera creada con un nuevo software”, señaló Unciphered.