BTC
$94,884.24
+
2.19%
ETH
$1,790.11
+
1.85%
USDT
$1.0004
+
0.04%
XRP
$2.2057
+
1.58%
BNB
$607.34
+
1.55%
SOL
$154.76
+
4.29%
USDC
$0.9999
+
0.02%
DOGE
$0.1831
+
5.09%
ADA
$0.7219
+
3.91%
TRX
$0.2439
-
0.39%
SUI
$3.7072
+
22.18%
LINK
$15.10
+
4.22%
AVAX
$22.61
+
2.15%
XLM
$0.2847
+
5.54%
LEO
$9.1245
-
1.06%
HBAR
$0.1997
+
9.99%
SHIB
$0.0₄1413
+
7.28%
TON
$3.2306
+
3.53%
BCH
$381.96
+
9.77%
LTC
$86.69
+
6.26%
Inscribirse
Seleccionar idioma
Español esEnglish enItaliano itFrançais frУкраїнська ukРусский ruPortuguês pt-brFilipino fil
Logo
Markets
Share this article

Investigación: Los hackers podrían instalar una puerta trasera en el almacenamiento en frío de Bitcoin

Un investigador en Berlín ha descrito una forma de comprometer un algoritmo CORE que sustenta a Bitcoin para que las transacciones filtren datos de clave privada.

By Joon Ian Wong
Updated Sep 11, 2021, 11:27 a.m. Published Jan 16, 2015, 10:35 a.m.
Binary Code Landscape

Incluso una billetera de Bitcoin almacenada en frío, considerada ampliamente como la forma más segura de guardar la moneda digital, podría filtrar sus claves privadas a un atacante, según descubrió un investigador de seguridad.

Un atacante podría realizar ingeniería inversa de las claves privadas de una billetera comprometida a partir de tan solo información como una única transacción emitida por esa billetera.

STORY CONTINUES BELOW
Don't miss another story.Subscribe to the Crypto Long & Short Newsletter today. See all newsletters
By signing up, you will receive emails about CoinDesk products and you agree to our terms of use and privacy policy.

El ataque es particularmente preocupante porque sería exitoso incluso si la víctima mantuviera una billetera en una máquina aislada sin conexión a Internet, oincluso en el espacio, como está intentando hacer el proveedor de billeteras Xapo, según el artículo de Stephan Verbücheln.

Verbücheln, investigador de la Universidad HumboldtInstituto de Ciencias de la ComputaciónEn Berlín, dijo:

El atacante solo tiene que observar la cadena de bloques hasta que aparezcan dos firmas [comprometidas]... las firmas afectadas no son detectables por nadie más que el atacante.

La sabiduría convencional sostiene que las monedas almacenadas en frío están a salvo de ataques porque las claves privadas nunca entran en contacto con Internet ni con ninguna otra red.

En general, esto es cierto. Incluso si el dispositivo de almacenamiento en frío pudiera verse comprometido por malware, las claves privadas robadas no se transmitirían a un ladrón porque no está conectado a internet.

Cómo funciona

El artículo de Verbücheln, tituladoCómo las billeteras offline perfectas aún pueden filtrar claves privadas de Bitcoin,Establece un ataque que se centra en el algoritmo criptográfico de Bitcoin.

Esta fórmula matemática, conocida comoECDSA o el algoritmo de firma digital de curva elíptica, se utiliza en el protocolo Bitcoin para garantizar que los fondos sólo puedan ser gastados por sus legítimos propietarios.

Cuando se realiza una transacción de Bitcoin , esta contiene una o más firmas ECDSA. El número de firmas en una transacción depende del número de... entradas Que contiene y se utiliza para demostrar que las transacciones fueron autorizadas por sus legítimos propietarios. La cantidad de Bitcoin contenida en una transacción consiste en la suma de sus entradas.

El atacante primero debe crear una versión comprometida de ECDSA. Esto se logra con uncleptográfico'SETUP', o 'Trampilla secreta incorporada con protección incorporada', que se describió por primera vez en unDocumento de 1997Por Adam Young y Moti Yung. Ese artículo describió un ataque similar contra elAlgoritmo de firma digital, en el que se basa el ECDSA.

Cada vez que se firma una transacción de Bitcoin , la firma se genera parcialmente a partir de un número aleatorio conocido como «k». El ECDSA comprometido utiliza una fórmula específica para seleccionar «k», que a su vez se utiliza para calcular un valor adicional, «k²».

El atacante buscará firmas consecutivas firmadas por el ECDSA comprometido. Como conoce cómo se calculó «k2» inicialmente, podrá calcular ese valor a partir de dos firmas consecutivas. Con «k2» en mano, el atacante puede calcular «k» y la clave privada de esa dirección.

"Una vez que el atacante conoce 'k2' para una firma ECDSA, le resulta fácil calcular la clave privada", afirmó Verbücheln.

Un observador de la cadena de bloques (e incluso el propio atacante) que examinara las firmas de esta curva elíptica comprometida no podría detectar ningún fallo. Sin embargo, a diferencia de un observador general, el atacante ejecutaría su fórmula de extracción en cada firma de la cadena de bloques, con la esperanza de encontrar el valor «k2» en las firmas generadas por su ECDSA malicioso.

Finalmente, el atacante dará con las firmas realizadas por él, lo que le permitirá descubrir 'k2' y, en última instancia, derivar la clave privada de las direcciones.

"Ahora puede almacenar las claves privadas extraídas y controlar el saldo de las direcciones. Puede usarlas para robar dinero en cualquier momento", afirmó Verbücheln.

La buena noticia

Verbücheln dijo que su artículo aún no ha sido enviado para su publicación, aunque está dando una charla sobre el tema en unconferencia en Ámsterdam la próxima semana.

Si bien el escenario descrito por Verbücheln es aterrador (claves privadas esencialmente filtradas a la cadena de bloques), la buena noticia es que es un ataque difícil de llevar a cabo a gran escala.

Iván Pustogarov

, un investigador del grupo de investigación en criptología de la Universidad de Luxemburgo, dijo que un intento de introducir de contrabando un código ECDSA comprometido en una billetera de código abierto popular, por ejemplo, sería descubierto por el público.

"En el software de código abierto a gran escala... En algún momento se analizará el código y se detectará la implementación maliciosa", dijo.

Verbücheln comparte en gran medida esta evaluación, aunque advierte que algunas piezas de código de fuente abierta son tan grandes y complejas que incluso una comunidad dedicada de desarrolladores puede no detectar una adición maliciosa.

Tanto Verbücheln como Pustogarov afirman que la forma más probable de ejecutar un ataque de este tipo sería a través de servicios de monederos electrónicos dedicados que ejecutan software propietario. Los dispositivos diseñados específicamente para el almacenamiento seguro de monedas en frío, por ejemplo, serían los PRIME candidatos para este tipo de ataque.

"Aunque el fabricante afirme que ejecuta código abierto, ¿cómo saber si realmente ejecuta lo que compilaste?", preguntó Verbücheln.

Según Pustogarov, el artículo de Verbücheln describe un ataque relacionado con la falla de "valores r repetidos" que cometió el hacker de sombrero blanco "Johoe".famosamente explotado para obtener más de 500 BTC del proveedor de billetera Blockchain.

"Estos dos temas están relacionados. El artículo [Verbücheln] describe un enfoque más general, y los valores r repetidos son un subcaso", dijo.

Verbücheln afirmó desconocer si el ataque que describió se llevó a cabo. Sin embargo, la posibilidad de que ONE de los algoritmos criptográficos CORE de Bitcoin pudiera verse comprometido astutamente, permitiendo a un ladrón forzar incluso las direcciones más seguras, presenta un escenario alarmante.

"Este ataque se conoce desde hace muchos años en sistemas Cripto relacionados, por lo que no se puede saber con certeza", dijo.

hackingCrimeSecurityTechnologyAcademic ResearchFeaturesTechnology News
Joon Ian Wong

Joon Ian Wong