Comenta esta historiaComentarAgregar a tus historias guardadasGuardarSAN FRANCISCO — Después de que un empresario e inversionista tecnológico perdió su contraseña para recuperar más de $600,000 en bitcoins y contrató a expertos para abrir la billetera donde la guardaba, no pudieron ayudarlo. Pero en el proceso, descubrieron una manera de descifrar suficientes carteras de software para robar mil millones de dólares o más. El martes, el equipo publicó información sobre cómo lo hicieron. Esperan que sean suficientes datos para que los propietarios de millones de billeteras se den cuenta de que están en riesgo y muevan su dinero, pero no tantos datos para que los delincuentes puedan descubrir cómo llevar a cabo lo que sería uno de los mayores atracos de todos los tiempos. La nueva empresa Unciphered ha trabajado durante meses para alertar a más de un millón de personas de que sus billeteras están en riesgo. A millones más no se les ha dicho nada, a menudo porque sus billeteras fueron creadas en sitios web de criptomonedas que han cerrado. La historia de las vulnerabilidades de esas billeteras subraya el enorme riesgo de las monedas experimentales, más allá de sus salvajes fluctuaciones en el valor y las regulaciones que cambian rápidamente. . Muchas billeteras se crearon con código que contiene fallas profundas y las empresas que usaron ese código pueden desaparecer. Más allá de eso, es un recordatorio aleccionador de que debajo de la infraestructura de software de todo tipo, incluso aquellas dedicadas explícitamente a asegurar fondos, hay programas de código abierto que pocas o ninguna gente supervisa. “El código abierto envejece como la leche. Eventualmente saldrá mal”, dijo Chris Wysopal, cofundador de la empresa de seguridad Veracode, quien asesoró a Unciphered mientras solucionaba el problema. La empresa compartió su proceso y sus conclusiones con The Washington Post antes de hacerlo público. El código fuente quedó al descubierto en 2021 cuando se descubrió que Log4j, una herramienta omnipresente utilizada por proveedores de servicios de software que pocos consumidores conocían, podía usarse para ejecutar código malicioso. La revelación asustó a empresas de todo el mundo e hizo de la seguridad de código abierto una prioridad máxima para la Agencia de Seguridad de Infraestructura y Ciberseguridad del Departamento de Seguridad Nacional, que ahora está presionando a las empresas para que planifiquen todos los programas de los que dependen. “Toda tecnología creada por el hombre contiene fallas que se originan en sus creadores”, dijo el cofundador de Unciphered, Eric Michaud. Stefan Thomas, el tecnólogo que creó el software utilizado para crear las billeteras, le dijo a The Post que lo había hecho como un pasatiempo y que había tomado la parte clave del código de un programa publicado en la página de un estudiante de la Universidad de Stanford, sin verificar si era correcto. “En cambio, estaba obsesionado con asegurarme de no cometer ningún error en mi propio código”, dijo Thomas. «Lo siento por todos los afectados por este error». Unciphered llama a la falla «Randstorm», porque proviene de programas de billetera que crearon claves criptográficas que no eran lo suficientemente aleatorias. En lugar de crear llaves electrónicas que eran una entre un billón y, por lo tanto, muy difíciles de falsificar para un extraño, crearon llaves que eran una entre miles, un factor de aleatoriedad fácilmente pirateable. La persona que puso la bola en movimiento es el inversionista Nick. Sullivan, uno de los primeros creyentes de bitcoin que utilizó el sitio Blockchain.info, rebautizado como Blockchain.com, para crear una billetera en 2014. No mucho después, borró la memoria de su computadora sin darse cuenta de que no había guardado en su administrador de contraseñas el blob de letras y números que le darían acceso a su cuenta criptográfica. «Fue una serie de circunstancias bastante frustrantes», dijo Sullivan a The Post. En ese momento, había perdido alrededor de $18.000. Esa cantidad ahora vale más de $600,000, suficiente para que valga la pena contratar a los piratas informáticos y a los veteranos de la Agencia de Seguridad Nacional en Unciphered para tratar de recuperarla. Unciphered, una de las pocas empresas dedicadas a recuperar fondos electrónicos atrapados por una tarifa. , comenzó a buscar el dinero de Sullivan en enero de 2022. Resultó que la información que tenía Sullivan sobre cómo había creado la cuenta no era suficiente para permitir que los expertos de Unciphered descifraran la billetera. Pero al estudiar el problema, el equipo de Unciphered descubrió un problema mayor: el código de Thomas, conocido como BitcoinJS, que se suponía crearía billeteras con claves aleatorias, no siempre las hacía lo suficientemente aleatorias. Para agravar el problema, el BitcoinJS de Thomas no solo se usó por Blockchain.info, pero también por muchos otros sitios a partir de 2011, incluida la principal fuente de billeteras para la antigua moneda de broma dogecoin, Dogechain.info. Un ejecutivo del propietario de ese sitio, Block.io, no respondió a un correo electrónico de The Post en busca de comentarios. «BitcoinJS está terriblemente dividido hasta marzo de 2014», dijo Michaud. «Cualquiera que lo use directamente corre un riesgo muy alto de sufrir un ataque». Los criptógrafos descubrieron debilidades en la forma en que la mayoría de los principales navegadores creaban aleatoriedad en 2014, y las mejoraron después. Blockchain.info y algunos otros sitios también agregaron más aleatoriedad, lo que hizo que las billeteras fueran más difíciles de descifrar. Unciphered no ha encontrado ninguna billetera creada después de 2016 que sea vulnerable debido a una aleatoriedad débil. Pero eso aún deja a millones de billeteras vulnerables. Las más fáciles de descifrar serían las billeteras creadas antes de marzo de 2012, que contienen alrededor de $100 millones y podrían ser pirateadas por una persona. usuario de computadora, dijo Michaud. Otros 50 mil millones de dólares en bitcoins se almacenan en billeteras creadas entre entonces y finales de 2015. La mayoría de ellas no son vulnerables, pero al menos el 2 por ciento de ellas lo son, por alrededor de otros 500 millones de dólares, dijo Unciphered. Luego hay otras monedas con servicios de billetera que tomaron prestado de BitcoinJS, incluidas dogecoin y litecoin. Descubrir la vulnerabilidad fue solo la mitad del desafío. Unciphered todavía tenía que descubrir cómo decirle a millones de personas que movieran sus fondos, sin revelar la existencia de una gran vulnerabilidad. Desafortunadamente, muchos de los sitios de cifrado que habían utilizado el programa defectuoso estaban fuera del negocio, al igual que Thomas. El asesor jurídico no cifrado Stewart Baker, ex asesor general de la Agencia de Seguridad Nacional, mientras intentaba determinar qué era lo correcto, incluso abordó en una columna hace un año la idea de que un “caballero blanco” robara todo lo que fuera vulnerable a un hipotético ataque. defecto criptográfico y conservarlo mientras clasifica quién era realmente el dueño de qué. Señaló que se había establecido una especie de precedente en 2021, cuando un pirata informático robó la friolera de 600 millones de dólares en moneda virtual de la plataforma de préstamos Poly Network y los devolvió por una tarifa de 500.000 dólares y la promesa de que no sería procesado. Pero nadie quería arriesgarse a ser procesado o a sufrir responsabilidad civil robando a muchas personas a la vez, y al final “lo que decidimos hacer”, recordó Baker, “fue encontrar la empresa que estaba en condiciones de solucionar o notificar a tantas personas como fuera posible, con la esperanza de que pudiéramos solucionar gran parte de esto antes de que se filtrara la naturaleza exacta del problema”. Finalmente, Michaud se dio cuenta de que el mayor usuario antiguo del programa de billetera que aún existe era el que había utilizado Sullivan, Blockchain.com. La primera interacción entre las dos empresas estuvo plagada de sospechas. Cada uno quería que la otra parte firmara un acuerdo de confidencialidad, pero ninguno de ellos lo haría. “En criptografía, hay que ser bastante escéptico con las personas que llaman con algo que suena dramático, porque hay muchos estafadores”, Lane Kasselman, presidente de Blockchain.com. recordado. «No estaba claro quiénes eran ni cuál era su alcance». Pero sus referencias coincidieron y Baker se unió a una llamada grupal para explicar que los hackers de Unciphered eran genios de la seguridad bien intencionados, no extorsionadores. Blockchain.com aceptó ayudar. Desarrolló una manera de actualizar automáticamente las billeteras de quienes visitaron su sitio, cambiaron su aplicación y enviaron correos electrónicos a los titulares de más de 1,1 millones de billeteras afectadas a partir del 10 de octubre, menos del 2 por ciento de los 90 millones de billeteras que tiene. creado. Por supuesto, muchos de los que fueron notificados también eran sospechosos. Uno de ellos publicó el aviso en un chat para entusiastas de las criptomonedas y pidió conjeturas sobre lo que estaba pasando. El experto en seguridad Dan Guido vio eso y publicó en X, y alguien respondió señalando un aviso en el sitio de Unciphered que decía que tendría algo relacionado con la billetera que anunciar en el futuro. Luego, Guido preguntó a la gente de su empresa de ingeniería de seguridad, Trail of Bits, para ver a qué podría haberse referido Unciphered. Resolvieron el problema en días, pero aceptaron guardar silencio a petición de Unciphered. «Han podido mantener esto en secreto durante 20 meses, lo cual es una locura, y eso es lo que se requiere», dijo Guido. «La capacidad de la gente para aprovecharla es extremadamente alta». Los consumidores pueden comprobar si sus billeteras son vulnerables en www.keybleed.com. Desafortunadamente, la billetera de Sullivan no estaba entre las que sufrieron la falla de seguridad, principalmente porque él creó su billetera en 2014, después de que Blockchain.info hubiera mejorado la aleatoriedad de sus billeteras. Si la seguridad hubiera sido peor, habría podido recuperar su dinero cuando Blockchain.info notificó a los clientes con cuentas vulnerables. De todos modos, ya terminó con las criptomonedas. , después de iniciar tres empresas en la industria y terminar un poco más pobre que cuando comenzó. Ahora está trabajando en inteligencia artificial.“Las criptomonedas son un lugar bastante hostil, para ser honesto, lleno de gente que ataca lo que estás construyendo, ya sea están tratando de piratearlo, o desafíos de los reguladores u otras personas interesadas en ver cómo se elimina Bitcoin”, dijo el ex verdadero creyente. Pero dijo que estaba feliz de haber terminado ayudando a una gran cantidad de extraños que todavía están invertidos. tanto emocional como financieramente: «Honro a aquellos que todavía luchan en esa lucha». Corrección Una versión anterior de este artículo identificó erróneamente el software de creación de billeteras de Stefan Thomas. Es BitcoinJS. La historia también decía que Nick Sullivan tiene 100.000 dólares en su billetera. La cantidad supera los 600.000 dólares. El artículo ha sido corregido.

Source link