BitGo parchea una vulnerabilidad crítica descubierta por primera vez por Fireblocks

El monedero de criptomonedas BitGo ha parcheado una vulnerabilidad crítica que podría haber expuesto las claves privadas de usuarios minoristas e institucionales.

El equipo de investigación criptográfica Fireblocks identificó el fallo y lo notificó al equipo de BitGo en diciembre de 2022. La vulnerabilidad estaba relacionada con los monederos BitGo Threshold Signature Scheme (TSS) y tenía el potencial de exponer las claves privadas de exchanges, bancos, empresas y usuarios de la plataforma.

El equipo de Fireblocks denominó a la vulnerabilidad BitGo Zero Proof Vulnerability, que permitiría a posibles atacantes extraer una clave privada en menos de un minuto utilizando una pequeña cantidad de código JavaScript. BitGo suspendió el servicio vulnerable el 10 de diciembre y publicó un parche en febrero de 2023 que exigía actualizaciones del lado del cliente a la última versión antes del 17 de marzo.

El equipo de Fireblocks explicó cómo identificó el exploit utilizando una cuenta gratuita de BitGo en mainnet. Una parte que faltaba en las pruebas obligatorias de conocimiento-cero del protocolo de monedero ECDSA TSS de BitGo permitió al equipo exponer la clave privada mediante un sencillo ataque.

Las plataformas de activos de criptomoneda de nivel empresarial estándar del sector utilizan tecnología de computación multiparte (MPC/TSS) o multifirma para eliminar la posibilidad de un único punto de ataque. Esto se consigue distribuyendo una clave privada entre varias partes, para garantizar los controles de seguridad en caso de que una de ellas se vea comprometida.

Fireblocks pudo demostrar que atacantes internos o externos podían acceder a una clave privada completa por dos vías posibles.

Un usuario cliente comprometido podría iniciar una transacción para adquirir una parte de la clave privada almacenada en el sistema de BitGo. BitGo realizaría entonces el cálculo de la firma antes de compartir la información que filtra el fragmento de clave de BitGo.

“El atacante puede ahora reconstruir la clave privada completa, cargarla en un monedero externo y retirar los fondos inmediatamente o en una fase posterior”.

El segundo escenario consideraba un ataque si BitGo se veía comprometido. Un atacante esperaría a que un cliente iniciara una transacción para responder con un valor malicioso. Este valor se utiliza para firmar la transacción con el fragmento de clave del cliente. El atacante puede utilizar la respuesta para revelar el fragmento de clave del usuario, antes de combinarlo con el fragmento de clave de BitGo para hacerse con el control del monedero.

Fireblocks señala que no se ha producido ningún ataque por el vector identificado, pero advierte a los usuarios que consideren la posibilidad de crear nuevos monederos y mover fondos de los monederos ECDSA TSS de BitGo antes del parche.

Los hackeos de carteras han sido habituales en toda la industria de las criptodivisas en los últimos años. En agosto de 2022, más de 8 millones de dólares fueron drenados de más de 7000 carteras Slope basadas en Solana. El servicio de monederos de la red Algorand, MyAlgo, también fue objeto de un hackeo de monederos en el que se sustrajeron más de 9 millones de dólares de varios monederos de alto perfil.

Aclaración: La información y/u opiniones emitidas en este artículo no representan necesariamente los puntos de vista o la línea editorial de Cointelegraph. La información aquí expuesta no debe ser tomada como consejo financiero o recomendación de inversión. Toda inversión y movimiento comercial implican riesgos y es responsabilidad de cada persona hacer su debida investigación antes de tomar una decisión de inversión

Las inversiones en criptoactivos no están reguladas. Es posible que no sean apropiados para inversores minoristas y que se pierda el monto total invertido. Los servicios o productos ofrecidos no están dirigidos ni son accesibles a inversores en España.