Los monederos Bitcoin creados entre 2011 y 2015 son susceptibles a un nuevo tipo de exploit llamado Randstorm, que permite recuperar contraseñas y obtener acceso no autorizado a una multitud de monederos en varias plataformas blockchain.
Randstorm() es un término acuñado para describir una colección de errores, decisiones de diseño y cambios en la API que, cuando entran en contacto entre sí, se combinan para reducir drásticamente la calidad de los números aleatorios producidos por los navegadores web de esa era (2011-2015), según el informe de Unciphered.
Se estima que aproximadamente 1.4 millones de bitcoins están almacenados en monederos que se generaron con claves criptográficas potencialmente débiles. Los usuarios pueden verificar si sus monederos son vulnerables en www.keybleed[.]com.
La empresa de recuperación de criptomonedas descubrió el problema en enero de 2022 mientras trabajaba para un cliente que había quedado bloqueado fuera de su monedero Blockchain.com.
La vulnerabilidad se origina en el uso de BitcoinJS, un paquete JavaScript de código abierto utilizado para desarrollar aplicaciones de monederos criptográficos basadas en navegadores.
Randstorm se basa en la dependencia del paquete en la función SecureRandom() en la biblioteca JavaScript JSBN, junto con debilidades criptográficas que existían en la implementación de la función Math.random() en los navegadores web de esa época.
Como resultado, la falta de entropía suficiente podría ser explotada para realizar ataques de fuerza bruta y recuperar las claves privadas del monedero generadas con la biblioteca BitcoinJS (o sus proyectos dependientes).
Este hallazgo destaca una vez más la importancia de las dependencias de código abierto en la infraestructura de software y cómo las vulnerabilidades en estas bibliotecas fundamentales pueden tener riesgos de cadena de suministro en cascada.
Fuente: The hacker news
Bitcoin es una forma de dinero digital descentralizado que utiliza la tecnología blockchain para realizar y registrar transacciones de manera segura. Operando sin un control central, se basa en la minería para crear nuevas unidades y verificar transacciones. Su característica clave es la descentralización, lo que significa que no está controlado por gobiernos o bancos centrales. Se utiliza para transacciones en línea y se considera una forma de inversión por algunas personas.
Un «exploit» es una pieza de software o una secuencia de comandos que se aprovecha de una vulnerabilidad o debilidad en un sistema, aplicación o red informática con el fin de realizar acciones no autorizadas o maliciosas. Los exploits son comúnmente utilizados por hackers para comprometer la seguridad de un sistema y pueden llevar a la ejecución de código no deseado, acceso no autorizado o la toma de control de un sistema. La identificación y corrección de vulnerabilidades son prácticas cruciales para mitigar el riesgo de exploits.
La blockchain es una tecnología descentralizada que utiliza un registro distribuido y encadenado para asegurar y verificar transacciones. Esta tecnología elimina la necesidad de una autoridad central, proporciona un registro inmutable y transparente de las transacciones, utiliza criptografía para garantizar la seguridad, y puede ejecutar contratos inteligentes. Su aplicación más conocida es en criptomonedas como Bitcoin, pero también se utiliza en diversos campos para mejorar la seguridad y la transparencia en las transacciones y registros.
El Hacking Ético, Ethical Hacking o Pentesting es una práctica de ciberseguridad en la que profesionales, conocidos como «hackers éticos» o «expertos en seguridad», utilizan sus habilidades para identificar y corregir vulnerabilidades en sistemas, redes y aplicaciones. A diferencia de los hackers maliciosos, los hackers éticos trabajan con el permiso del propietario del sistema para mejorar su seguridad. El proceso de hacking ético generalmente incluye la evaluación de la seguridad, la identificación de posibles vulnerabilidades, la recomendación de soluciones y, a menudo, la realización de pruebas de penetración controladas para fortalecer la ciberseguridad de una organización. Este enfoque ayuda a prevenir ataques maliciosos y a proteger la integridad y privacidad de la información.
Un Red Team en ciberseguridad es un grupo de profesionales que simulan ser adversarios externos para evaluar la seguridad de un sistema o red. Utilizan tácticas similares a las de ciberdelincuentes reales, llevan a cabo pruebas de penetración, analizan riesgos y proporcionan recomendaciones para mejorar la seguridad. Su enfoque proactivo ayuda a las organizaciones a identificar y abordar vulnerabilidades, fortaleciendo así sus defensas contra amenazas potenciales.
El phishing ético es una práctica en ciberseguridad donde profesionales de la seguridad informática simulan ataques de phishing con el propósito de evaluar y mejorar la conciencia y preparación de una organización frente a posibles engaños en línea. A diferencia de los ciberdelincuentes malintencionados, los expertos en phishing ético buscan identificar debilidades en la capacitación de los empleados, las defensas tecnológicas y los procesos organizativos. Este enfoque ayuda a fortalecer las medidas de seguridad y a reducir el riesgo de caer víctima de ataques de phishing reales.