Hechos clave:
-
Una investigación encontró 732 direcciones de ETH con llaves privadas descifrables.
-
Los monederos fueron vaciados por ladrones que descifraron las llaves privadas vulnerables.
Una investigación realizada por un grupo de expertos en seguridad, reveló la existencia de unas 732 direcciones de monederos de ETH cuyas claves privadas eran descifrables. La exploración fue realizada por investigadores del ISE (Independent Security Evaluators), quienes publicaron los resultados este martes 23 de abril.
Según el estudio, pese a que la posibilidad de generar una clave privada que ya se usa en la cadena de bloques de Ethereum, es casi imposible (una en 2256, es decir, una cifra de más de 80 dígitos), algunas llaves privadas presentan anomalías que las hacen altamente vulnerables.
La llave privada es el elemento de un monedero de criptomonedas que permite firmar y validar las transacciones en la cadena de bloques. Además, permite acceder a los saldos registrados en una dirección de monedero o llave pública.
El experimento se centró en encontrar, a partir de llaves privadas catalogadas como débiles, las correspondientes llaves públicas o direcciones de cartera en la blockchain de Ethereum. Adrian Bednarek, investigador senior de ISE, declaró a un medio que no solo encontraron 732 direcciones, sino que descubrieron que las mismas habían sido vaciadas y la mayoría de los fondos transferidos a un solo monedero de ETH.
Bandido de blockchain
Bednarek explicó que llamaron al propietario (o propietarios) del monedero en cuestión, el «bandido de blockchain», ya que al parecer en el transcurso de los años desde la creación de Ethereum, ha logrado apropiarse de 44.744 ETH, alrededor de USD 7,8 millones a precio actual, y más de USD 50 millones en el punto más alto de su valor.
“Estaba haciendo las mismas cosas que nosotros, pero fue más allá”, comentó Bednarek al portal Wired. “Quienquiera que sea este tipo o estos tipos, están gastando mucho tiempo informático buscando nuevas billeteras, observando cada transacción y viendo si tienen la clave”, apuntó.
El investigador comentó que, aunque aun no han podido replicar el experimento en la red principal de Bitcoin, verificó 100 llaves débiles al azar en dicha red. Encontró que también allí se han dado robos a las a carteras correspondientes.
Llaves privadas débiles
De acuerdo con el informe, el proyecto Ethereum usa criptografía de curva elíptica para generar claves privadas de 256 bits, que a su vez se utiliza para crear la clave pública de 160 bits.
Los investigadores calificaron como llaves privadas débiles, aquellas que pudieran no haber sido generadas adecuadamente por la implementación correcta del algoritmo. Como resultado, los monederos se crean con una llave privada truncada que contiene solo una fracción de su longitud. Por ejemplo, una llave privada de 256 bits tendría un valor como este:
0x47579DA2BEA463533DBFAD6FCF8E90876C2FE9760DC1162ACC4059EE37BDDB5C
Mientras que si se trunca en 32 bits, resultaría en la siguiente clave:
0x00000000000000000000000000000000000000000000000000000037BDDB5C
Esto podría ocurrir por errores de codificación, del sistema operativo, del dispositivo y del entorno de ejecución, los cuales suelen ser comunes. No obstante, Bednarek no descarta que se puedan generar llaves débiles a causa de códigos maliciosos o reutilización de semillas.
Lecciones clave
Bednarek recomendó a los desarrolladores monederos auditar su código meticulosamente, para detectar errores que pudieran truncar las llaves privadas dejándolas vulnerables. Recordó además a los usuarios la importancia de elegir con cuidado sus monederos de criptomonedas, y decantarse por aplicaciones confiables, descargadas de sitios web seguros. “No se puede llamar al soporte técnico y pedirles que reviertan una transacción. Cuando se ha ido, se ha ido para siempre”, comentó el experto.
Imagen destacada por anyaberkut / stock.adobe.com
