Hechos clave:
-
Una palabra adicional fue agregada a la frase de recuperación de 12 palabras en Mycelium Wallet.
-
Usuarios no pueden acceder a la cartera y por ello temen la pérdida de fondos.
Un error en la cartera de Bitcoin Mycelium Wallet evita que los usuarios puedan acceder nuevamente a sus fondos al intentar restaurar la cartera con su frase semilla de 12 palabras.
Debido a una palabra que era incluida por defecto como contraseña adicional a las palabras de recuperación, desconocida para los dueños de las carteras, estos no podían recuperar el acceso a sus carteras.
El pasado 7 de abril de 2020, Mycelium Wallet, que es una de las carteras de Bitcoin más antiguas del ecosistema, introdujo por accidente un bug que configuraba por defecto la palabra “passphrase” como contraseña adicional a las 12 palabras de respaldo, sin avisar al usuario.
La actualización fue introducida de manera que los usuarios que abrieron carteras y crearon su respaldo de 12 palabras, realmente tenían una frase de recuperación de 13 palabras.
El 27 de enero de 2021 se dio solución a este error, que solo afectaba a la versión de Mycelium para iPhone (iOS).
Usuarios de Mycelium no tienen información oportuna
Desde IT4Crypto, empresa de consultoría informática en Bitcoin y criptomonedas, analizaron el caso y alertaron sobre este error. En comentarios exclusivos para CriptoNoticias, Santiago Molins, CEO de IT4Crypto, explicó que la mayoría de carteras permiten configurar una contraseña adicional, además de las 12 palabras de respaldo o backup derivadas del estándar BIP-39, pero Mycelium falla al no informar a sus usuarios que esta palabra adicional se está configurando por defecto.
No comunicar que la palabra “passphrase” fue configurada como contraseña, es lo que causa zozobra entre los usuarios de Mycelium, quienes en primera instancia dan por perdidos sus fondos.
“Probablemente, en el campo donde se escribe la contraseña querían poner un hint, indicar que ahí corresponde introducir una contraseña, pero se equivocaron y lo hicieron como input, agregando la palabra “passphrase” como contraseña válida”, dijo en referencia a Mycelium. El agravante está, en criterio del analista, en el hecho de que Mycelium atendiera el error de esta manera sin notificar a los usuarios cómo proceder. Los usuarios están respaldando incorrectamente sus wallets y se angustian cuando ven sus carteras vacías, sin bitcoins (BTC).
Es grave que Mycelium ‘arreglara’ este bug sin notificarlo y al hacerlo, todos los backups creados entre el 7 de abril de 2020 y el 27 de enero de 2021, están mal de ahora en adelante, porque desde Mycelium nunca dijeron que además de las 12 palabras se agregaba la palabra ‘passphrase’ como contraseña”, enfatizó el analista.
Según explicó Molins tras la cuenta de GitHub IT4Crypto, homónimo de su empresa consultora, fueron tres las consecuencias inmediatas para los usuarios.
En primer lugar, los usuarios no veían su balance de fondos en Mycelium, pero al restaurar en otras wallets, sí tendrían acceso a sus bitcoins.
Como segundo escenario, otros usuarios habrían perdido el acceso a sus fondos por desconocer que la palabra “passphrase” estaba configurada como contraseña después de la versión defectuosa de Mycelium. Sin querer, estarían cambiando hacia una cartera con una contraseña preconfigurada, perdiendo sus fondos hasta que se enterasen de esta situación.
La tercera situación en la que se encuentran algunos usuarios es no haber restaurado la cartera en ningún momento, pero desconocen que tienen un backup o respaldo incompleto, con una palabra menos de lo que es realmente.
Molins comentó que los usuarios que han introducido la contraseña “passphrase” han logrado restaurar sus fondos exitosamente. Esto no ha sido propiamente anunciado por la compañía.
“Un error lo puede tener cualquiera”, como fue la configuración por defecto de una contraseña además de las 12 palabras de respaldo. “Nunca es tarde para avisar” señaló el analista, asumiendo también la responsabilidad de notificar este tipo de situaciones cuando las logra descubrir.
Mycelium, cartera predilecta por muchos, está desactualizada
Molins relató a CriptoNoticias que logró detectar el problema con la ayuda del desarrollador Leo Wandersleb, quien trabaja para Mycelium, al darse cuenta que el extravío de fondos no se trataba de un robo. Los BTC no se movían de la dirección que los usuarios indicaban al consultor para su revisión, como tampoco se presentaban transacciones, tal como los casos mencionados. “Ya van tres semanas y todavía no han solucionado”, increpó el consultor.
Como algo destacable, el reconocido sitio web TechRadar comenta en una publicación reciente que el servicio de soporte de Mycelium no cuenta con recursos para orientar a los nuevos usuarios de la aplicación.
Así mismo, comentan que a pesar de ofrecer características avanzadas, como la conexión privada vía Tor, “la falta de documentación nos hace evitar recomendar esta aplicación a usuarios experimentados de Bitcoin”, dice el medio británico especializado en tecnología.
En su versión de Android, la cartera es la predilecta para muchos usuarios de Bitcoin, especialmente de aquellos que ya tienen tiempo utilizando el protocolo y la criptomoneda. En el caso de iPhone, el desarrollo de Mycelium es algo deficiente, para impresión de Santiago Molins. Para ambas versiones, señala, se cuenta con equipos de desarrollo diferentes, lo que dificulta la estandarización de ambas appss.
A juicio de Molins la cartera ha quedado desactualizada. Además, aunque el código de la cartera es abierto, la licencia de Mycelium autoriza sólo su revisión como referencia (Microsoft Reference Source License o MS-RSL, por sus siglas), de modo que no puede bifurcarse o implementarse independientemente.
No obstante, poder visualizar el código y comentarlo es una facultad que facilita elegir una cartera segura de Bitcoin.
