Saltar al contenido

Los investigadores exponen debilidades de seguridad clave en los intercambios de cifrado que deben abordarse

Los investigadores exponen debilidades de seguridad clave en los intercambios de cifrado que deben abordarse

  • Los investigadores de ciberseguridad expusieron fallas clave en los intercambios de criptomonedas que podrían hacer que los usuarios pierdan una fortuna.
  • Los investigadores, Jean-Philippe Aumasson, cofundador de una empresa de tecnología de cifrado, Taurus Group, y vicepresidente de Kudelski Security y Omer Shlomovits, creador de la billetera de cifrado móvil, ZenGo, se negaron a nombrar los intercambios en riesgo.

Durante la Black Hat Security Conference de Wired, celebrada el 6 de agosto, Aumasson y Shlomovits discutieron tres fallas clave en el almacenamiento de los fondos de los usuarios en los intercambios de cifrado. Según su investigación, los intercambios de cifrado están cayendo una y otra vez en estas debilidades debido a la debilidad o la falla en la implementación correcta de los protocolos de seguridad.

Los intercambios de cifrado han mejorado significativamente su seguridad, especialmente en la protección de las claves privadas de los usuarios. A diferencia de las bóvedas bancarias tradicionales, los intercambios de cifrado no almacenan todas las claves privadas en un solo lugar para evitar un solo punto de ataques fallidos. Para mejorar la seguridad, los intercambios dividen las claves privadas en diferentes componentes para que ninguna parte tenga acceso directo a los fondos.

Sin embargo, el procedimiento "complejo" de asegurar claves privadas a través de divisiones plantea algunas fallas en la implementación.

Una de las principales fallas radica en tener un infiltrado malintencionado "explotando una vulnerabilidad en una biblioteca de código abierto" en uno de los principales intercambios, dijeron los investigadores. La vulnerabilidad de la biblioteca surge en la función de actualización. Además, se negaron a dar el nombre del intercambio por razones de seguridad.

Muchos de los principales intercambios tienen una función de actualización de las claves privadas divididas que tiene cada persona para evitar que los atacantes recopilen lentamente cada parte de la "clave privada dividida" y obtengan acceso a los fondos de la billetera. Según Aummasson:

"El mecanismo de actualización (biblioteca vulnerable) permitió a uno de los titulares de la clave iniciar una actualización y luego manipular el proceso, por lo que algunos componentes de la clave cambiaron y otros permanecieron igual".

Si bien esto no permitiría al atacante robar los fondos, el intercambio podría bloquearse permanentemente el acceso a todos sus fondos.

El segundo defecto proviene de una empresa de gestión de activos digitales no identificada por la cual un atacante que controle el intercambio comprometería la relación entre el intercambio y sus clientes. Este ataque también se centra en la mezcla de claves privadas, mediante el cual el atacante extrae las claves privadas de los usuarios después de varias combinaciones de claves. Con las claves privadas, los fondos están en manos del atacante.

Finalmente, un ataque de generación de claves, que se notó por primera vez en el intercambio de Binance (que resolvió el problema parcialmente en marzo). Los atacantes apuntan al comienzo mismo del proceso de generación de claves cuando las partes de confianza obtienen números aleatorios para el mecanismo de seguridad de "prueba de conocimiento cero".

En el caso de Binance, la biblioteca de código abierto nunca auditó ni verificó los números aleatorios, lo que podría permitir a un pirata informático enviar sus valores aleatorios a las partes confiables de la "clave privada dividida" y, a cambio, extraer la parte de la clave privada de todos: acceder los fondos.

Estos problemas provienen de una persona con privilegios en los intercambios de cifrado que inició el ataque, concluyeron los investigadores.