***
Un investigador de seguridad de MyCrypto, publicó un análisis detallado – y contundente – del sitio de billetera de papel WalletGenerator.net. El análisis de Harry Denley se centra en el código abierto original de WalletGenerator.
Las interfaces de cartera de papel son una herramienta muy útil y conveniente para que los usuarios generen fácilmente un par de claves privadas/públicas. Sin embargo, históricamente, estas interfaces han mostrado ser susceptibles con vulnerabilidades en el RNG/derivación de claves.
Muchas veces la vulnerabilidad se debe a un comportamiento malicioso externo o interno. O también puede ser provocada por la misma ignorancia de los propietarios de los sitios web. Si el generador de números aleatorios se ve comprometido de alguna manera puede dar lugar a que se roben los fondos de los usuarios.
Códigos no coinciden
WalletGenerator es un sitio web que genera carteras de papel para un puñado de diferentes criptomonedas. El código servido a WalletGenerator.net está destinado a ser de código abierto y auditado, y debería coincidir con el código de GitHub.
Todo el proyecto genera carteras utilizando una técnica por parte del cliente que toma una entrada aleatoria real y produce una billetera única.
De acuerdo con el informe, hasta el 17 de agosto de 2018, el código en línea coincidía con el de código abierto. Pero en algún momento después de esa fecha, los dos conjuntos de códigos dejaron de coincidir.
El resultado es la posibilidad de que WalletGenerator esté dando las mismas llaves a múltiples usuarios. Para probar esto, el investigador de MyCrypto hizo funcionar el generador a grandes rasgos y obtuvo algunos resultados extraños.
Al acercarnos desde un ángulo diferente, utilizamos el generador “Bulk Wallet” para generar 1.000 llaves. En la versión no maliciosa de GitHub, se nos dan 1.000 claves únicas, como era de esperar.
Sin embargo, usando WalletGenerator.net en varios momentos entre el 18 de mayo de 2019 y el 23 de mayo de 2019, solo obtuvimos 120 llaves únicas por sesión. Refrescar nuestro navegador, cambiar de ubicación de VPN, o hacer que un tercero diferente realice la misma prueba resultó en la generación de un conjunto diferente de 120 claves.
Advertencia
Si bien el investigador no encontró el comportamiento extraño hasta el viernes pasado 24 de mayo, podría volver a presentarse en cualquier momento. Además señaló que para el momento de redacción del informe el código de GitHub no es malicioso ni vulnerable, ni se mostró que haya sido malicioso ni vulnerable anteriormente. A pesar de esto advirtió:
No recomendamos usar WalletGenerator.net para seguir adelante, incluso si el código en este momento no es vulnerable.
“Seguimos considerando este caso altamente sospechoso y seguimos recomendando a los usuarios que generaron pares de claves públicas/privadas después del 17 de agosto de 2018, que muevan sus fondos“, añadió el investigador.
Puede leer el informe completo aquí, no obstante, Denley recomienda a los usuarios a retirar los fondos de sus billeteras de papel basadas en WalletGenerator.
Como no hay una manera clara de contactar a los “dos tipos al azar[sic] que se divierten con un proyecto paralelo” que aparentemente dirigen el sitio, podemos recomendarles que eviten el sitio por completo.
?
Traducción de Hannah Estefanía Pérez / DiarioBitcoin
Imagen de web de WalletGenerator
ADVERTENCIA: Este es un artículo de carácter informativo. DiarioBitcoin es un medio de comunicación, no promociona, respalda ni recomienda ninguna inversión en particular. Vale señalar que las inversiones en criptoactivos no están reguladas en algunos países. Pueden no ser apropiadas para inversores minoristas, pues se podría perder el monto total invertido. Consulte las leyes de su país antes de invertir.