SlowMistdentuna falla de seguridad que podría exponer claves privadas

La empresa de seguridad blockchain SlowMist hadentuna vulnerabilidad en una biblioteca criptográfica de JavaScript ampliamente utilizada que podría exponer las claves privadas de los usuarios a los atacantes.

La falla de seguridad afecta a la popular biblioteca “elliptic” que proporciona funciones de criptografía de curva elíptica para varias billeteras de criptomonedas, sistemas dedenty aplicaciones Web3.

Según el análisis, la vulnerabilidad proviene del manejo defectuoso de entradas no estándar por parte de la biblioteca durante las operaciones de firma. Este flujo puede generar números aleatorios repetidos en las firmas ECDSA. Dado que la seguridad de estas firmas depende completamente de la unicidad de estos valores aleatorios, cualquier repetición permite a los atacantesmaticla clave privada.

La vulnerabilidad permite latracde clave privada con una interacción mínima

La causa de la falla radica en cómo la biblioteca elíptica genera lo que los criptógrafos llaman el "valor k". Este es un número aleatorio que nunca debe reutilizarse en diferentes firmas. El análisis de SlowMist revela que los atacantes pueden crear entradas específicas que engañen a la biblioteca para que reutilice este valor. "Al generar k, la clave privada y el mensaje se utilizan como semillas para garantizar la unicidad en diferentes entradas", explica el informe de SlowMist.

Esta falla crea un vector de ataque peligroso, ya que requiere una interacción mínima con las víctimas. Un atacante solo necesita observar una firma legítima y luego engañar al objetivo para que firme un mensaje especialmente diseñado. Al comparar estas dos firmas, el atacante puede obtenermaticla clave privada de la víctima mediante una fórmula relativamente simple.

La adopción generalizada pone en riesgo numerosas aplicaciones Web3

El uso de la biblioteca elíptica por parte de la comunidad JavaScript aumenta el impacto potencial de la vulnerabilidad. SlowMist indica que la vulnerabilidad está presente en todas las versiones hasta la 6.6.0 y afecta a aplicaciones que utilizan diversas curvas elípticas.

Cualquier aplicación que realice firmas ECDSA sobre datos externos está en riesgo. Esto podría incluir monederos de criptomonedas, aplicaciones de finanzas descentralizadas, plataformas NFT y aplicaciones de autenticación dedentbasadas en Web3.

El uso de bibliotecas en el ámbito de las monedas digitales conlleva una superficie vulnerable a ataques. Si la clave privada se ve comprometida, los atacantes obtienen control total sobre los activos correspondientes. Los hackers pueden realizar transferencias no autorizadas, alterar registros de propiedad o suplantar la identidad de usuarios en aplicaciones descentralizadas.

SlowMist también ha publicado algunas sugerencias de emergencia para usuarios y desarrolladores con el fin de mitigar la amenaza de seguridad. Los desarrolladores deberían, en primer lugar, actualizar la biblioteca elíptica a la versión 6.6.1 o superior, ya que la vulnerabilidad se ha solucionado oficialmente en la versión más reciente.

Además de actualizar la biblioteca, SlowMist recomienda a los desarrolladores que incluyan precauciones de seguridad adicionales en sus aplicaciones. Para los usuarios de las aplicaciones afectadas, la mayor preocupación es si sus claves privadas podrían estar ya en riesgo. SlowMist recomienda que los usuarios que hayan firmado mensajes maliciosos o desconocidos tomen la precaución de reemplazar sus claves privadas.

Los ataques de phishing disminuyen a medida que las vulnerabilidades técnicas cobran protagonismo

Si bien el hallazgo de SlowMist apunta a amenazas derivadas de vulnerabilidades tecnológicas, las cifras de Scam Sniffer indican que los ataques de phishing han disminuido durante tres meses consecutivos. En febrero de 2025, 7442 víctimas perdieron 5,32 millones de dólares. Esto representa una caída del 48 % con respecto a los 10,25 millones de dólares de enero y una disminución del 77 % con respecto a los 23,58 millones de dólares de diciembre.

🧵 [1/4] 🚨 Informe de phishing de ScamSniffer de febrero de 2025

Pérdidas de febrero: $5.32 millones | 7,442 víctimas
Pérdidas de enero: $10.25 millones | 9,220 víctimas
(-48% intermensual) pic.twitter.com/HsZZSlYKJC

— Detector de estafas | Web3 Anti-Scam (@realScamSniffer) 5 de marzo de 2025

Si bien esta tendencia a la baja es evidente, varios vectores de ataque siguen siendo extremadamente potentes. Los ataques de permisos, en los que los hackers crean direcciones de billetera visualmente indistinguibles de las legítimas, resultaron en la mayor pérdida individual, con un valor de $771,000 en ETH.

Los ataques basados ​​en permisos les siguieron de cerca, con pérdidas por $611,000, seguidos de aprobaciones de phishing no revocadas en BSC por un valor de $610,000 en fondos malversados. Los exploits IncreaseApproval completaron los principales vectores de ataque, con pérdidas por $326,000 en ETH.