En Resumen
- Fireblocks revela una vulnerabilidad en los monederos Ethereum de BitGo que utiliza el Threshold Signature Scheme de la firma.
- Entre los usuarios afectados se encuentran exchanges, bancos y marcas notables de Web3 con cientos de miles de usuarios.
- BitGo ha parcheado la vulnerabilidad y exige a sus clientes actualizar a la última versión antes del 17 de marzo, pero Fireblocks sigue preocupado por posibles exploits anteriores.
Nota del editor: Este artículo se ha actualizado para incluir los comentarios de BitGo.
El equipo de investigación de criptomonedas del proveedor de infraestructuras blockchain Fireblocks ha publicado hoy los detalles de una vulnerabilidad en las wallets de Ethereum de BitGo que utilizan el Threshold Signature Scheme (TSS) de la firma.
La vulnerabilidad salió a la luz a principios de diciembre, poco más de un mes después de que el servicio se hiciera público.
Tras confirmar los detalles técnicos de la vulnerabilidad, BitGo suspendió el servicio el 10 de diciembre y publicó un parche de actualización en febrero. La empresa, con sede en Palo Alto, también exigió a sus clientes que actualizaran a la última versión antes del 17 de marzo.
Según Fireblocks, la vulnerabilidad podría haber permitido a un atacante extraer una clave privada completa utilizando una sola firma y unos pocos segundos de cálculo, eludiendo todas las funciones de seguridad de BitGo.
Aunque Fireblocks afirmó que había seguido un proceso de "revelación coordinada" entre su equipo de investigación y el equipo de seguridad de BitGo, BitGo refutó enérgicamente la caracterización de los hechos por parte de Fireblocks. En una declaración facilitada a Decrypt, BitGo acusó a Fireblocks de "convertir una brecha conocida en un truco publicitario", y añadió que "así no es como se supone que deben funcionar las revelaciones coordinadas."
BitGo declaró que "El tipo específico de monedero MPC en cuestión está en acceso temprano y permanece en acceso temprano, sólo desbloqueado para 20 desarrolladores." BitGo añadió que el monedero en cuestión era un "producto de pre-lanzamiento" y que Fireblocks lo había caracterizado erróneamente como si estuviera en producción, "porque lo probaron en mainnet usando el sitio web de BitGo (ignorando todas las advertencias sobre que era de acceso temprano)."
La empresa de custodia y seguridad de activos digitales BitGo, entre cuyos clientes se encuentran algunos de los grandes nombres de la industria de las criptomonedas, como Bitstamp, Pantera Capital y eToro, entre otros, introdujo por primera vez los monederos TSS en junio de 2022, y en octubre añadió soporte para los monederos Ethereum.
La vulnerabilidad -denominada BitGo Zero Proof Vulnerability- tiene su origen en la falta de implementación de pruebas de conocimiento cero obligatorias en el protocolo de monedero TSS de BitGo, que utiliza el algoritmo de firma digital de curva elíptica (ECDSA).
Las Wallets de Criptomonedas de BitGo deben Actualizarse
La vulnerabilidad Zero Proof se descubrió inicialmente en BitGoJS, el SDK que los clientes de BitGo utilizan para interactuar con la API de BitGo. BitGoJS se utiliza para realizar firmas en el lado del cliente.
Explotar la vulnerabilidad en el SDK permite a un atacante robar la clave privada compartida utilizada por el cliente, independientemente de sus métodos de almacenamiento de claves y medidas de seguridad.
"Cualquier parche introducido en la biblioteca debería proteger las billeteras que lo implementen", dijo a Decrypt el jefe de tecnología, investigación e innovación de Fireblocks, Arik Galansky. "Sin embargo, aún queda la preocupación de si alguien ya ha explotado la vulnerabilidad en el pasado y extrajo la clave mientras usaba una biblioteca vulnerable".
"A medida que los ataques a la industria de las criptomonedas continúan acelerándose, a los custodios con licencia se les confía la seguridad de miles de millones de dólares en fondos de usuarios", dijo el cofundador y CTO de Fireblocks, Idan Ofrat, en una declaración compartida con Decrypt. "La vulnerabilidad es el resultado de que el proveedor de billeteras no siguió un estándar criptográfico bien revisado".
Aunque las billeteras generadas después del parche deberían ser seguras, según Fireblocks, las claves de cualquier billetera BitGo Ethereum TSS generada antes de la actualización deben considerarse potencialmente expuestas. Por lo tanto, cualquier fondo en esas billeteras de criptomonedas debe considerarse en riesgo y trasladarse inmediatamente a una billetera segura.
En un comunicado, BitGo acusó a Fireblocks de "una letanía de afirmaciones falsas destinadas a dañar la reputación de BitGo, así como las relaciones comerciales reales y potenciales de BitGo", añadiendo que la compañía está "persiguiendo todos los recursos legales, incluyendo pero no limitado a daños y perjuicios, medidas cautelares, costas judiciales y honorarios de abogados."