Uno de los mayores temores de las personas que forman parte del universo criptográfico es que haya un error en los protocolos de seguridad, ya sea en sus carteras o casas de cambio, que ocasione la pérdida de sus criptomonedas. Es por ello que estas plataformas toman varias medidas de seguridad para proteger a sus clientes. Sin embargo, no son infalibles y aún pueden ser objeto de ataques o errores que las dejan vulnerables, como es el caso de WalletGenerator.net.
WalletGenerator.net es una cartera criptográfica de papel (paper wallet), la cual anteriormente corrió un código que ocasionó se distribuyeran las mismas llaves a diferentes usuarios.
La investigación de este suceso fue publicada en el blog oficial de MyCrypto por Harry Denley, donde se aseguró que el código erróneo estaba vigente desde agosto y fue actualizado el pasado 23 de mayo.
Aunque se supone que las claves de WalletGenerator.net deben ser creadas al azar y, al tener un código abierto, este proceso debe ser auditado en vivo por GitHub, el investigados determinó que las últimas claves habían sido generadas de manera determinista por el sitio web.
Para comprobar esto, MyCrypto generó entre el 18 y 23 de mayo 1.000 claves en WalletGenerator.net, la versión de GitHub le regresó, en teoría, las 1.000 claves que habían solicitado, pero el código sólo devolvió 120 claves.
Esto es aún más grave si se toma en cuenta que las carteras de papel necesitan dos claves para funcionar, una pública y una privada, ya que se corre el riesgo que una o ambas sean las mismas que se les generó a otro usuario. La teoría indica que se necesita aleatoriedad para generar el emparejamiento de las claves y que estas estén seguras, tal y como explica la publicación:
“Al generar una clave, toma un número súper aleatorio, lo convierte en la clave privada y lo convierte en la clave / dirección pública. Sin embargo, si el número ‘superaleatorio’ es siempre ‘5’, la clave privada que se genera siempre será la misma. Por eso es tan importante que el número súper aleatorio sea realmente aleatorio … no ‘5’”.
Sin embargo, WalletGenerator.net respondió asegurando que las acusaciones supuestamente jamás pudieron comprobarse, e incluso le preguntó al corresponsal de MyCrypto si su plataforma en realidad no era un “sitio web de phishing”.
Por su parte, MyCrypto recomendó a los usuarios que habían generado claves después del 17 de agosto de 2018, mover inmediatamente sus fondos a una dirección más segura, e instó a los miembros de la comunidad criptográfica a no usar WalletGenerator.net para esto.
