Tips
- Un exploit en versiones antiguas de Electrum ha abierto las puertas al robo de 25 millones de dólares en Bitcoin según reportes.
- Un nuevo informe de investigación detalla cómo los atacantes pueden conseguir una actualización de malware.
- Electrum ha sido actualizado para ayudar a resolver los problemas, pero las versiones más antiguas son susceptibles.
En agosto y septiembre, surgieron múltiples informes que indicaban que los usuarios de la wallet de Bitcoin, Electrum, habían visto cantidades significativas de Bitcoin robadas a través de un exploit en una versión antigua de la cartera.
Una nueva investigación ha detallado el proceso detrás del exploit y la extensión del daño infligido a los usuarios hasta la fecha.
De acuerdo con una investigación de ZDNet, más de 25 millones de dólares en Bitcoin han sido robados a través del exploit, con 1980 Bitcoin (22.9 millones de dólares) guardado en carteras vinculadas a los atacantes. Esto se suma a los 202 BTC (2,3 millones de dólares) robados en ataques anteriores, como se informó en diciembre de 2018.
El mayor botín llegó a finales de agosto, con un Bitcoiner que afirmaba en GitHub que había perdido 1.400 BTC por culpa del exploit de Electrum. Al día siguiente, otro usuario afirmó haber perdido 36,5 BTC por lo mismo.
La misma vulnerabilidad ha sido utilizada por los atacantes desde 2018, según los informes de las supuestas víctimas. De acuerdo con la investigación, los usuarios de una versión más antigua de Electrum pueden ser incitados durante el uso a actualizar la aplicación, sin embargo la actualización de seguridad viene de un atacante externo en lugar de los desarrolladores de Electrum.
Los servidores ElectrumX de Electrum se utilizan para comunicarse con la blockchain de Bitcoin, pero el ecosistema abierto de la aplicación significa que los malos actores pueden encender sus propios servidores de puerta de enlace y esperar a que los usuarios se conecten. Desde allí, los atacantes pueden lanzar un aviso que le dice a los usuarios que deben actualizar la aplicación para enviar una transacción, pero los señala a un malware en lugar de una actualización legítima.
Una vez actualizado con el malware, la cartera de Electrum comprometida pide la contraseña de un solo uso del usuario, y si se proporciona, sus fondos son robados y enviados a la dirección del atacante. Las versiones más nuevas de Electrum han implementado correcciones para dar cuenta del exploit, incluyendo el bloqueo de ciertos mensajes emergentes del servidor y también la lista negra de servidores, pero las versiones más antiguas de la billetera son más susceptibles a los atacantes como se evidencia en estos informes recientes.
El desarrollador de Electrum Thomas Voegtlin dijo a Decrypt en agosto que el equipo ha estado al tanto del ataque de phishing por algún tiempo y ha advertido a los usuarios a través de su sitio web. "La advertencia ha estado en exhibición en nuestro sitio web durante los últimos 18 meses", dijo Voegtlin. "El usuario fue estafado porque usó un software antiguo, susceptible de ser utilizado para el phishing", añadió.
Voegtlin también comentó en GitHub el mes pasado, y sugirió que los usuarios afectados reportaran los ataques a la policía. "Hay una investigación policial en curso en Alemania y en el Reino Unido. Nosotros (los desarrolladores de Electrum) hemos reportado el ataque de phishing a la policía hace aproximadamente un año", escribió, añadiendo "No puedo hacer ningún comentario sobre el progreso de la investigación, pero ayuda si las víctimas lo reportan de manera independiente".