Fireblocks descubre vulnerabilidad en BitGo

En diciembre, el equipo de investigación en criptografía de Fireblocks identificó un fallo en la implementación del monedero autogestionado de Ethereum (ECDSA) de BitGo. La corporación fiduciaria de activos digitales corrigió posteriormente el problema, que podría haber permitido el robo de claves privadas y otras acciones confidenciales.

El fallo del contrato inteligente de BitGo era tan grave que, de explotarse, podría poner en peligro el acceso de los usuarios a sus claves privadas, así como las de bancos, empresas y exchanges.

Fireblocks afirma que el protocolo TSS (Threshold Signature System) de BitGo contenía el fallo. En una entrada de su blog, afirma que, aprovechando el punto débil, los atacantes podrían saltarse todas las precauciones de seguridad, acceder al monedero y llevarse todo el dinero.

La vulnerabilidad “Zero Proof” del protocolo se descubrió en el “BitGoJS” SDK, que es utilizado por su cliente para comunicarse con la API de BitGo a través de Java Script. La clave privada puede ser tomada por atacantes que descifren fácilmente el código.

Cuando el equipo de investigación criptográfica Fireblocks descubrió el fallo e informó a BitGo de ello el 5 de diciembre, BitGo tomó inmediatamente medidas correctivas. El 10 de diciembre de 2022, la plataforma interrumpió el servicio problemático.

Al lanzar un parche, BitGo eliminó el fallo, y a partir del 17 de marzo el cliente debe actualizarse a la versión más reciente.

Fireblocks también proporcionó un esquema detallado de cómo aprovecharse del fallo y robar dinero de la cartera de un usuario.

Fireblocks afirmó que su equipo de investigación y el equipo de seguridad de BitGo habían llevado a cabo un enfoque de “divulgación coordinada”, mientras que BitGo rebatió vehementemente esta afirmación.

En una entrada de su blog, BitGo afirmó que Fireblocks había “convertido una brecha conocida en un truco publicitario”, alegando que no era así como debían funcionar las filtraciones coordinadas.