Investigadores encuentran fallas en protocolos de seguridad desarrollados por importantes exchanges de Cripto

Los intercambios de Criptomonedas que guardan fondos de usuarios han corrido el riesgo de caer en numerosos problemas de seguridad al no garantizar que los protocolos de seguridad se implementen correctamente, según una nueva investigación.

• Hablando conCon cable En un artículo del domingo, Jean-Philippe Aumasson, cofundador de la firma de seguridad de intercambio Taurus Group, dijo que él y su equipo, junto con Omer Shlomovits del Maker de billeteras Cripto ZenGo, habían descubierto tres vulnerabilidades significativas en la forma en que algunos intercambios de custodia retienen los fondos de los usuarios.
• Si bien las billeteras Cripto privadas generalmente tienen solo una clave privada para el titular, los intercambios van un paso más allá y dividen las claves en diferentes componentes (un esquema de clave distribuida) para que ONE entidad tenga control total sobre la billetera principal.
• Eso generalmente mejora la seguridad pero, como descubrió Taurus Group, los nuevos vectores de ataque surgieron de la división de claves privadas en parte porque asumieron que los poseedores de claves, entidades responsables de parte de la clave, no serían maliciosos.
• Algunos vectores provienen de la función de actualización que mejora la Privacidad al reemplazar componentes clave para que un tercero no pueda descubrir lentamente una clave privada completa.
• En un ejemplo, a partir de un software de código abierto de un exchange que los investigadores se negaron a identificar, un poseedor de clave malintencionado podría cambiar, o amenazar con cambiar, parte del componente de modo que se pierda la clave privada completa, impidiendo así que el exchange vuelva a acceder a los fondos.
• Podría decirse que la mayor vulnerabilidad provino de un protocolo de generación de claves de Binance, donde el poseedor de la clave pretendía ser el propio protocolo, asignando a otros poseedores de claves los valores aleatorios que necesitaban para verificar su identidad.
• Armado con esa información, un hacker podría comprometer el sistema desde el momento de su configuración, dándoles acceso al resto de la clave privada y permitiéndoles drenar los fondos de la billetera.
• Binance solucionó el problema en marzo y dijo que recomienda a los usuarios que realicen el procedimiento de generación de claves solo si les preocupa que ONE de los titulares pueda ser malicioso.
• Tanto Aumasson como Shlomovits dijeron que la investigación destacó lo fácil que era que aparecieran vulnerabilidades en mecanismos aparentemente seguros.

Ver también:Empresa de Cripto hackeada por 1,4 millones de dólares admite que tendrá dificultades para reembolsar a los usuarios