-
La causa es un generador pseudoaleatorio inseguro en la frase semilla.
-
Bitcoin concentró la mayor pérdida: más de 2.5 millones de USD en el barrido inicial.
Coinspect, firma de seguridad especializada en criptoactivos, reveló una falla en la generación de frases semilla que afecta a wallets de software y que ya fue explotada activamente para drenar fondos de usuarios. El estudio no precisó el tipo de vulnerabilidad, pero se asume que se trata de fuerza bruta.
La firma denominó el hallazgo «Ill Bloom» y publicó una herramienta este 5 de julio para que los usuarios verifiquen si sus direcciones están comprometidas.
Según Coinspect, las wallets en riesgo abarcan Bitcoin, Ethereum, Polygon, Rootstock, Tron y Solana, y el problema está relacionado con una aleatoriedad débil —un generador de números pseudoaleatorios inseguro— utilizado durante la creación de la frase de recuperación en ciertas wallets de software.

Desde la compañía sostienen que las direcciones vulnerables incluyen wallets generadas desde 2018 y que el problema es más común en wallets de software móviles menos conocidas. Coinspect precisó que los usuarios que generaron su semilla con una wallet de hardware no están afectados y que la mayoría de las wallets de software actuales tampoco resultan vulnerables.
De acuerdo con la firma, los candidatos más probables son los usuarios que generaron su semilla en wallets de software móviles menos utilizadas.
Un ataque ya en marcha
Coinspect documentó movimientos de fondos no autorizados desde finales de mayo. Un ataque registrado el 27 de mayo afectó a 431 de 2.114 wallets señaladas como vulnerables, con un drenaje de aproximadamente 3.1 millones de USD en criptomonedas, siendo Bitcoin la red más afectada ocupando 2.5 millones de dólares del total de fondos robados. La firma añadió que otros 2 millones de USD fueron movidos el domingo desde direcciones expuestas, por lo que la cifra total drenada desde el 27 de mayo asciende a, al menos, 5 millones de USD.

La firma advirtió que podría haber otros ataques en redes y direcciones aún no identificadas, lo que implicaría que el número real de wallets en riesgo sea mayor al detectado hasta ahora.
Por su parte, la firma de seguridad SlowMist confirmó que está siguiendo el caso. «Estamos monitoreando de cerca la alerta de riesgo de aleatoriedad débil en wallets de Ill Bloom, de Coinspect», publicó SlowMist en X.
Por qué la firma no revela el exploit
Coinspect optó por no publicar los detalles técnicos del ataque activo para limitar un daño mayor, según indicó en redes sociales. En cambio, la firma lanzó un verificador de direcciones en illbloom.org, que solo requiere la dirección pública de la wallet y advierte que nunca solicitará frases semilla, claves privadas, firmas ni aprobaciones.
La empresa explicó que este tipo de vulnerabilidad ya se había presentado antes: en 2023, la versión de extensión de navegador de una wallet móvil produjo entropía limitada, reduciendo las combinaciones posibles de la frase mnemónica a unos cuatro mil millones, aunque fue corregida antes de que se sustrajeran fondos; ese mismo año, una falla distinta en la implementación de otra wallet permitió sustraer cerca de 900.000 USD mediante fuerza bruta sobre claves privadas.
La recomendación para los usuarios
La firma de seguridad remarcó que actualizar la aplicación o reimportar la misma frase semilla en otra wallet no elimina el riesgo, dado que la debilidad reside en la frase original y no en la aplicación en uso. La firma pidió a los usuarios ejecutar el verificador y revisar sus transacciones recientes en busca de movimientos no autorizados.
Por último, la organización insistió en que cualquier dirección que coincida con el conjunto de datos expuesto debe considerarse comprometida, sin importar si aún no se han detectado movimientos irregulares en ella.








