Investigadores de seguridad han descubierto un nuevo y preocupante método que los delincuentes pueden usar para extraer claves privadas de una billetera de hardware de Bitcoin, incluso con solo dos transacciones firmadas, al cual han denominado "Dark Skippy".

La vulnerabilidad potencialmente afecta a todos los modelos de billeteras de hardware, aunque solo puede funcionar si el atacante engaña a la víctima para que descargue un firmware malicioso. El firmware malicioso puede incrustar datos secretos en una transacción pública de Bitcoin, que el atacante puede luego utilizar para extraer las palabras clave de la semilla de una persona.

Una versión anterior del método requería que la víctima publicara "docenas" de transacciones en la blockchain. Pero la nueva versión "Dark Skippy" puede realizarse incluso si la víctima solo publica un par de transacciones en la blockchain. Además, el ataque puede ejecutarse incluso si el usuario utiliza un dispositivo separado para generar las palabras semilla.

El informe de divulgación fue publicado por Lloyd Fournier, Nick Farrow y Robin Linus el 5 de agosto. Fournier y Farrow son cofundadores del fabricante de billeteras de hardware Frostsnap, mientras que Linus es co-desarrollador de los protocolos de Bitcoin ZeroSync y BitVM.

Según el informe, el firmware de una billetera de hardware puede ser programado para incrustar partes de las palabras semilla del usuario en "nonces secretos de baja entropía" que luego se utilizan para firmar transacciones. Las firmas resultantes se publican en la blockchain cuando las transacciones se confirman. El atacante puede entonces escanear la blockchain para encontrar y registrar estas firmas.

Las firmas resultantes contienen solo "nonces públicos", no las partes de las palabras semilla en sí. Sin embargo, el atacante puede ingresar estos nonces públicos en el Algoritmo del Canguro de Pollard para calcular con éxito los nonces secretos a partir de sus versiones públicas.

El Algoritmo del Canguro de Pollard, descubierto por el matemático John M. Pollard, es un algoritmo en álgebra computacional que puede usarse para resolver el problema del logaritmo discreto.

Según los investigadores, se puede derivar el conjunto completo de palabras semilla de un usuario utilizando este método, incluso si el usuario solo produce dos firmas desde su dispositivo comprometido e incluso si las palabras semilla fueron generadas en un dispositivo separado.

Versiones anteriores de la vulnerabilidad han sido documentadas en el pasado, afirmaron los investigadores. Sin embargo, estas versiones anteriores dependían del "nonce grinding", un proceso mucho más lento que requería muchas más transacciones publicadas en la blockchain. Aun así, los investigadores no llegaron a calificar a Dark Skippy como una nueva vulnerabilidad, afirmando en su lugar que es "una nueva forma de explotar una vulnerabilidad existente".

Para mitigar la amenaza, el informe sugiere que "los fabricantes de billeteras de hardware deberían tener un cuidado especial para evitar que el firmware malicioso llegue a los dispositivos de los usuarios, lo que pueden lograr mediante características como arranque seguro y interfaces JTAG/SWD bloqueadas […] compilaciones de firmware reproducibles y firmadas por el proveedor[,...] [y] varias otras características de seguridad". Además, sugiere que los propietarios de billeteras pueden querer emplear prácticas para mantener sus dispositivos seguros, como "lugares secretos, cajas fuertes personales o incluso bolsas a prueba de manipulaciones”, aunque el informe también sugiere que estas prácticas pueden ser engorrosas".

Otra sugerencia que proporciona es que el software de la billetera utilice protocolos de firma "anti-exfiltración", que evitan que la billetera de hardware genere nonces por sí misma.

Las vulnerabilidades en las billeteras de Bitcoin han causado pérdidas significativas a los usuarios en el pasado. En agosto de 2023, la firma de ciberseguridad Slowmist informó que más de USD 900,000 en Bitcoin fueron robados a través de una falla en la biblioteca del explorador Libbitcoin. En noviembre, Unciphered informó que USD 2,100 millones en Bitcoin almacenados en billeteras antiguas podrían estar en peligro de ser drenados por atacantes debido a una falla en el software de billeteras BitcoinJS.

Fuente: CoinTelegraph | Dark Skippy