Blockchain.info emite reembolsos a las víctimas del robo de Bitcoin

Se ha descubierto otro fallo en una billetera de Bitcoin , lo que ha provocado el robo de unos 50 bitcoins. En esta ocasión, la billetera web de Blockchain.info fue la responsable, y la compañía ofrece reembolsos a los usuarios que perdieron bitcoins debido a la falla.

El popular sitio web de Blockchain ofrece principalmente datos de mercado y funciona como el principal explorador de la cadena de bloques para Bitcoin . Sin embargo, los usuarios también pueden crear billeteras web para enviar y recibir bitcoins. El error reside en el generador de números aleatorios que la billetera web utiliza para firmar las transacciones de Bitcoin . Los números aleatorios se generan en navegadores web mediante el lenguaje de programación JavaScript. Se descubrió el lunes, cuando un usuario de Bitcoin... reportado que le habían robado 1,8 BTC (unos 223 dólares).

"Los fondos de otras direcciones en esta billetera no se vieron afectados. Esto me lleva a pensar que Blockchain.info o Firefox pueden tener alguna debilidad en el generador de números aleatorios como la vulnerabilidad que se encontró recientemente en Android", dijo.

Este error sigue a otra falla del generador aleatorioSe encuentra en el sistema operativo Android A principios de este mes, esta falla afectó la generación de claves privadas para direcciones de Bitcoin . La repetición de números aleatorios permitió a los atacantes determinar las claves privadas de las billeteras de los usuarios, lo que a su vez les permitió apropiarse de las direcciones de Bitcoin asociadas a dichas claves.

Varios clientes de Android se vieron afectados por esta falla (incluido el cliente de Blockchain.info, para el cual se lanzó un parche). Sin embargo, esta última falla afectó al cliente de navegador de Blockchain.info, a sus extensiones de Chrome y Firefox, y a su aplicación para Mac OS X.

A diferencia del error de Android, esta falla solo afectó la firma de transacciones, en lugar de la creación de claves privadas,confirmadoBen Reeves (también conocido como Piuk), de Blockchain, en el foro Bitcointalk. Añadió que Firefox era particularmente vulnerable a una mala siembra de su generador de números aleatorios.

"A diferencia del problema de Android, el RNG (generador de números aleatorios) utilizado para generar claves privadas no se vio afectado, por lo que no es necesario cambiar las claves de las billeteras", declaró Reeves a CoinDesk. "Siempre que su cliente esté al día para futuras transacciones, no correrá ningún riesgo".

Blockchain.info ha corregido el error. Los usuarios deben asegurarse de usar las siguientes versiones de cliente:

• Extensión de Chrome - v2.85
• Extensión de Firefox - v1.97
• Cliente Mac - v0.11

Además, aquellos que solo usan la billetera web (sin un complemento) deben borrar el caché de su navegador antes de usar el sitio web de Blockchain.

Otro usuario del foro informó a los miembros del foro con sede en EE. UU. que existe una posible reparación legal a través deleyes federales contra el fraude electrónico criminal.

Cuando se le preguntó sobre la identidad del o los atacantes, Reeves confirmó que el atacante es un individuo y que todos los fondos robados se han enviado a la siguiente dirección:1HKywxiL4JziqXrzLKhmB6a74ma6kxbSDj.

Significativamente, los fondos transferidos a esa cuenta también incluyen fondos tomados de usuarios de Android a principios de este mes, lo que sugiere que la misma persona podría estar detrás del robo de bitcoins utilizando ambos errores.

Para aquellos que buscan recuperar fondos perdidos, Reeves nos dijo: "Si alguien cree que le han robado fondos, si es debido a este error, es muy probable que las monedas se hayan enviado a la dirección anterior. En caso de duda, pueden comunicarse con[email protected]Investigaré más a fondo. Hasta ahora solo me han reembolsado un par de BTC .

Reeves insinuó un atisbo de esperanza para los fondos perdidos: "Depende de las intenciones [del atacante], pero aún existe la posibilidad de que devuelvan los fondos". Pero el mensaje predominante es: no cuenten con ello.

Un representante de Blockchain.info dijo que Reeves había emitido los parches (mencionados anteriormente) pocas horas después de detectarse la falla y agregó: "Este es un tiempo de respuesta realmente sorprendente".

Se incluye una lista de las direcciones afectadas por errores del generador de números aleatorios tanto en Blockchain como en Android.publicado en el foro de Bitcoin, y también se ha actualizado con nuevos hallazgos. Nos dijo: "Si alguien cree que le robaron su dinero debido a este exploit, debería comprobar si su dirección de Bitcoin está en la lista. De ser así, Contáctanos en:https://blockchain.info/support-desk. Si no es T, entonces no fuiste víctima de esta vulnerabilidad."

¿Has perdido bitcoins? ¿Te han reembolsado? Cuéntanoslo en los comentarios.