Fireblocks revela vulnerabilidades de día cero que afectan a las principales billeteras MPC

Fireblocks, una empresa de infraestructura de Cripto centrada en las empresas, ha revelado un conjunto de vulnerabilidades, conocidas colectivamente como "BitForge", que afectan a una variedad de billeteras de Cripto populares que utilizan Tecnología de computación multipartita (MPC).

La empresa ha clasificado a BitForge como un “día cero”, lo que significa que los desarrolladores del software afectado no habían descubierto las vulnerabilidades antes de la Aviso legal por parte de Fireblocks.

Coinbase, ZenGo y Binance, tres de las empresas más grandes afectadas por BitForge, ya han colaborado con Fireblocks para remediar su exposición a posibles exploits, según la firma. Fireblocks afirma haber trabajado para identificar otros equipos que podrían verse afectados y haberse puesto en contacto con ellos de acuerdo con el proceso de Aviso legal responsable de 90 días, estándar de la industria.

Aunque es posible que se hayan solucionado vulnerabilidades particulares en las principales billeteras, el episodio plantea preguntas potencialmente alarmantes sobre cuán seguras son realmente estas billeteras MPC supuestamente ultraseguras.

“Si no se solucionan, las exposiciones permitirían a atacantes y personas maliciosas drenar fondos de las billeteras de millones de clientes minoristas e institucionales en segundos, sin que el usuario o el proveedor lo sepan”, dijo Fireblocks en un comunicado compartido con CoinDesk.

Si bien Fireblocks afirma que los ataques que explotan las vulnerabilidades habrían sido "prácticos", la empresa cree que su complejidad dificultó su descubrimiento antes de la Aviso legal del miércoles. "La probabilidad de que alguien —algún agente malicioso de, digamos, Corea del Norte— lo descubriera meses antes que nosotros y lo divulgara a los proveedores de billeteras— diría que es muy baja", declaró a CoinDesk el director ejecutivo de Fireblocks, Michael Shaulov.

Si los usuarios de la billetera MPC quieren saber si podrían estar usando una billetera vulnerable, Shaulov dijo que pueden comunicarse con Fireblocks o completar un formulario que se publicará en su sitio web.

Cálculo multipartito

En el contexto de las billeteras de Cripto , “ la Tecnología MPC fue diseñada principalmente para garantizar que no haya un solo punto de falla: una clave privada no se encuentra en un solo servidor o en un solo dispositivo”, explicó Shaurov.

Las billeteras que usan MPC cifran la clave privada del usuario y la distribuyen entre varias partes, generalmente una combinación de un usuario de billetera, un proveedor de billetera y un tercero de confianza. En teoría, ONE de estas entidades puede desbloquear la billetera sin la ayuda de las demás.

Según Fireblocks, las vulnerabilidades de BitForge habrían “permitido a un hacker extraer la clave privada completa si solo pudiera comprometer un dispositivo”, socavando todo el aspecto “multipartito” de MPC.

Cómo funcionó

Fireblocks describió los detalles técnicos de las vulnerabilidades de BitForge en un conjunto de informes técnicos publicados el miércoles.

Generalmente, para que un atacante aproveche las vulnerabilidades de BitForge, necesitaría comprometer el dispositivo de un usuario de billetera o ingresar a los sistemas internos de otra persona con una parte de la clave privada encriptada del usuario, ya sea el servicio de billetera o ONE de esos custodios de terceros.

Los pasos a seguir dependerán de la billetera. Las vulnerabilidades de BitForge se encontraron en varios artículos de investigación populares que describen cómo construir sistemas MPC, y los distintos proveedores de billeteras implementaron esta investigación de forma diferente.

Coinbase dice que su principal servicio de billetera orientada al usuario, Coinbase Wallet, no se vio afectado por los errores, mientras que Coinbase Wallet-as-a-Service (WaaS), que las empresas pueden usar para impulsar sus propias billeteras MPC, era técnicamente vulnerable antes de que Coinbase implementara una solución.

Según Coinbase, las vulnerabilidades descubiertas por Fireblocks habrían sido “casi imposibles de explotar” en su caso, requiriendo un “servidor malicioso dentro de la infraestructura de Coinbase” para engañar a los usuarios para que “inicien cientos de solicitudes de firma completamente autenticadas”.

“Es extremadamente improbable que algún cliente esté dispuesto a pasar por ese proceso tedioso y manual cientos de veces antes de contactarnos para solicitar asistencia”, afirmó Coinbase.