Compartir este artículo
Fireblocks revela vulnerabilidades de día cero que afectan a las principales billeteras MPC
Es poco probable que los usuarios se vieran afectados por las vulnerabilidades, conocidas colectivamente como "BitForge", pero Fireblocks dice que podrían haber permitido a los piratas informáticos "drenar fondos de las billeteras de millones de clientes minoristas e institucionales en segundos" si no se solucionaban.
Por Sam Kessler
Fireblocks, una empresa de infraestructura de Cripto centrada en las empresas, ha revelado un conjunto de vulnerabilidades, conocidas colectivamente como "BitForge", que afectan a una variedad de billeteras de Cripto populares que utilizan Tecnología de computación multipartita (MPC).
La empresa ha clasificado a BitForge como un “día cero”, lo que significa que los desarrolladores del software afectado no habían descubierto las vulnerabilidades antes de la Aviso legal por parte de Fireblocks.
CONTINÚA MÁS ABAJO
Coinbase, ZenGo y Binance, tres de las empresas más grandes afectadas por BitForge, ya han colaborado con Fireblocks para remediar su exposición a posibles exploits, según la firma. Fireblocks afirma haber trabajado para identificar otros equipos que podrían verse afectados y haberse puesto en contacto con ellos de acuerdo con el proceso de Aviso legal responsable de 90 días, estándar de la industria.
Aunque es posible que se hayan solucionado vulnerabilidades particulares en las principales billeteras, el episodio plantea preguntas potencialmente alarmantes sobre cuán seguras son realmente estas billeteras MPC supuestamente ultraseguras.
“Si no se solucionan, las exposiciones permitirían a atacantes y personas maliciosas drenar fondos de las billeteras de millones de clientes minoristas e institucionales en segundos, sin que el usuario o el proveedor lo sepan”, dijo Fireblocks en un comunicado compartido con CoinDesk.
Si bien Fireblocks afirma que los ataques que explotan las vulnerabilidades habrían sido "prácticos", la empresa cree que su complejidad dificultó su descubrimiento antes de la Aviso legal del miércoles. "La probabilidad de que alguien —algún agente malicioso de, digamos, Corea del Norte— lo descubriera meses antes que nosotros y lo divulgara a los proveedores de billeteras— diría que es muy baja", declaró a CoinDesk el director ejecutivo de Fireblocks, Michael Shaulov.
Si los usuarios de la billetera MPC quieren saber si podrían estar usando una billetera vulnerable, Shaulov dijo que pueden comunicarse con Fireblocks o completar un formulario que se publicará en su sitio web.
Cálculo multipartito
En el contexto de las billeteras de Cripto , “ la Tecnología MPC fue diseñada principalmente para garantizar que no haya un solo punto de falla: una clave privada no se encuentra en un solo servidor o en un solo dispositivo”, explicó Shaurov.
Las billeteras que usan MPC cifran la clave privada del usuario y la distribuyen entre varias partes, generalmente una combinación de un usuario de billetera, un proveedor de billetera y un tercero de confianza. En teoría, ONE de estas entidades puede desbloquear la billetera sin la ayuda de las demás.
Según Fireblocks, las vulnerabilidades de BitForge habrían “permitido a un hacker extraer la clave privada completa si solo pudiera comprometer un dispositivo”, socavando todo el aspecto “multipartito” de MPC.
Cómo funcionó
Fireblocks describió los detalles técnicos de las vulnerabilidades de BitForge en un conjunto de informes técnicos publicados el miércoles.
Generalmente, para que un atacante aproveche las vulnerabilidades de BitForge, necesitaría comprometer el dispositivo de un usuario de billetera o ingresar a los sistemas internos de otra persona con una parte de la clave privada encriptada del usuario, ya sea el servicio de billetera o ONE de esos custodios de terceros.
Los pasos a seguir dependerán de la billetera. Las vulnerabilidades de BitForge se encontraron en varios artículos de investigación populares que describen cómo construir sistemas MPC, y los distintos proveedores de billeteras implementaron esta investigación de forma diferente.
Coinbase dice que su principal servicio de billetera orientada al usuario, Coinbase Wallet, no se vio afectado por los errores, mientras que Coinbase Wallet-as-a-Service (WaaS), que las empresas pueden usar para impulsar sus propias billeteras MPC, era técnicamente vulnerable antes de que Coinbase implementara una solución.
Según Coinbase, las vulnerabilidades descubiertas por Fireblocks habrían sido “casi imposibles de explotar” en su caso, requiriendo un “servidor malicioso dentro de la infraestructura de Coinbase” para engañar a los usuarios para que “inicien cientos de solicitudes de firma completamente autenticadas”.
“Es extremadamente improbable que algún cliente esté dispuesto a pasar por ese proceso tedioso y manual cientos de veces antes de contactarnos para solicitar asistencia”, afirmó Coinbase.
Más para ti
Lo que debes saber:
- As of October 2025, GoPlus has generated $4.7M in total revenue across its product lines. The GoPlus App is the primary revenue driver, contributing $2.5M (approx. 53%), followed by the SafeToken Protocol at $1.7M.
- GoPlus Intelligence's Token Security API averaged 717 million monthly calls year-to-date in 2025 , with a peak of nearly 1 billion calls in February 2025. Total blockchain-level requests, including transaction simulations, averaged an additional 350 million per month.
- Since its January 2025 launch , the $GPS token has registered over $5B in total spot volume and $10B in derivatives volume in 2025. Monthly spot volume peaked in March 2025 at over $1.1B , while derivatives volume peaked the same month at over $4B.
Más para ti
ZKsync Lite to Shut Down in 2026 as Matter Labs Moves On
The company framed the move, happening in early 2026, as a planned sunset.
Lo que debes saber:
- Matter Labs plans to deprecate ZKsync Lite, the first iteration of its Ethereum layer-2 network, the team said in a post on X over the weekend.
- The company framed the move, happening in early 2026, as a planned sunset for an early proof-of-concept that helped validate their zero-knowledge rollup design choices before newer systems went live.
Historias Destacadas
