Crypto cybersecurity firm Unciphered has unearthed a decade-old crypto wallet bug affecting browser-based wallets generated between 2011 and 2015.

La empresa de ciberseguridad criptográfica Unciphered ha descubierto un error de billetera criptográfica de hace una década que afecta a las billeteras basadas en navegador generadas entre 2011 y 2015.

The bug may allow nefarious actors to steal up to $2.1 billion from wallets on various networks, including Bitcoin (BTC), Dogecoin (DOGE), Litecoin (LTC), and Zcash (ZEC).

El error puede permitir a actores nefastos robar hasta 2.1 mil millones de dólares de billeteras en varias redes, incluidas Bitcoin (BTC), Dogecoin (DOGE), Litecoin (LTC) y Zcash (ZEC).

Discovering An Ancient Bug

Descubriendo un error antiguo

In an interview with the Wall Street Journal, the Unciphered team explained that they’d accidentally discovered the bug during a failed attempt to recover an early investor’s $600,000 in lost Bitcoin (BTC).

En una entrevista con el Wall Street Journal, el equipo de Unciphered explicó que habían descubierto accidentalmente el error durante un intento fallido de recuperar los 600.000 dólares perdidos en Bitcoin (BTC) de uno de los primeros inversores.

The entrepreneur, Nick Sullivan, created his Bitcoin wallet back in 2014 using the website Blockchain.info (since renamed to Blockchain.com). Later, he accidentally lost access to his coins after wiping his computer’s memory without remembering to record his wallet’s private key.

El empresario Nick Sullivan creó su billetera Bitcoin en 2014 utilizando el sitio web Blockchain.info (desde entonces rebautizado como Blockchain.com). Más tarde, accidentalmente perdió el acceso a sus monedas después de borrar la memoria de su computadora sin recordar registrar la clave privada de su billetera.

At Sullivan’s request, Unciphered began searching for Sullivan’s coins in January 2022. Though they ultimately lacked enough information to get them back, they realized in the process that Blockchain.info’s code for creating random wallet keys – BitcoinJS – did not make all of its wallets random enough.

A petición de Sullivan, Unciphered comenzó a buscar las monedas de Sullivan en enero de 2022. Aunque finalmente carecían de información suficiente para recuperarlas, se dieron cuenta en el proceso de que el código de Blockchain.info para crear claves de billetera aleatorias, BitcoinJS, no funcionaba en todas sus billeteras. bastante aleatorio.

“BitcoinJS is terribly broken up till March 2014,” said Unciphered co-founder Eric Michaud. “Anyone directly using it is on the very high end of risk to attack.”

"BitcoinJS estuvo terriblemente dividido hasta marzo de 2014", dijo el cofundador de Unciphered, Eric Michaud. "Cualquiera que lo utilice directamente corre un riesgo muy alto de sufrir un ataque".

Another wallet site, Dogecoin.info, also used BitcoinJS, leaving many old Dogecoin users exposed to the same vulnerability.

Otro sitio de billetera, Dogecoin.info, también usó BitcoinJS, dejando a muchos usuarios antiguos de Dogecoin expuestos a la misma vulnerabilidad.

Unciphered claims that wallets made before March 2012 contain $100 million in assets that could easily be hacked by a home computer user. Another $50 billion is held in wallets created between then and 2015, of which at least $500 million is vulnerable.

Unciphered afirma que las carteras fabricadas antes de marzo de 2012 contienen 100 millones de dólares en activos que podrían ser fácilmente pirateados por un usuario de ordenador doméstico. Otros 50.000 millones de dólares se guardan en carteras creadas entre entonces y 2015, de los cuales al menos 500 millones de dólares son vulnerables.

Cryptographers discovered flaws in wallet generation randomness back in 2014, and improved their methods since. Unciphered said it hadn’t discovered any wallets generated after 2016 suffering from weak randomness.

Los criptógrafos descubrieron fallas en la aleatoriedad de la generación de billeteras en 2014 y mejoraron sus métodos desde entonces. Unciphered dijo que no había descubierto ninguna billetera generada después de 2016 que sufriera una aleatoriedad débil.

How to Tell Victims?

¿Cómo decirle a las víctimas?

Unciphered came public with the vulnerability this week, but has been quietly warning affected users that their assets are at risk for months.

Unciphered hizo pública la vulnerabilidad esta semana, pero ha estado advirtiendo silenciosamente a los usuarios afectados que sus activos están en riesgo durante meses.

The challenge was convincing millions of victims to move their funds without revealing the vulnerability to thieves who would otherwise leverage it to steal coins.

El desafío fue convencer a millones de víctimas de que movieran sus fondos sin revelar la vulnerabilidad a los ladrones que, de otro modo, los aprovecharían para robar monedas.

Unciphered ultimately decided to go to the biggest site responsible for generating such wallets that might be in a position to discretely notify affected users. That site ended up being the one Sullivan used – Blockchain.com.

Unciphered finalmente decidió ir al sitio más grande responsable de generar dichas billeteras que podría estar en condiciones de notificar discretamente a los usuarios afectados. Ese sitio terminó siendo el que utilizó Sullivan: Blockchain.com.

The site sent out emails to holders of over 1.1 million affected wallets and found a way to automatically update the wallets of anyone who visited its site.

El sitio envió correos electrónicos a los titulares de más de 1,1 millones de billeteras afectadas y encontró una manera de actualizar automáticamente las billeteras de cualquiera que visitara su sitio.

“In crypto, you need to be pretty skeptical of people who call with something that sounds dramatic, because there are so many scammers,” Blockchain.com President Lane Kasselman said regarding Unciphered’s warning. “It was unclear who they were and what the scope of it was.”

"En criptografía, hay que ser bastante escéptico con las personas que llaman con algo que suena dramático, porque hay muchos estafadores", dijo el presidente de Blockchain.com, Lane Kasselman, con respecto a la advertencia de Unciphered. "No estaba claro quiénes eran ni cuál era su alcance".

Many affected users still haven’t been warned directly since the sites they used to create their wallets are now out of business.

Muchos usuarios afectados aún no han sido advertidos directamente ya que los sitios que utilizaron para crear sus billeteras ya no están disponibles.

The post Old Crypto Wallet Bug Puts $2.1 Billion At Risk: Unciphered appeared first on CryptoPotato.

La publicación El antiguo error de Crypto Wallet pone $2.1 mil millones en riesgo: sin cifrar apareció por primera vez en CryptoPotato.