Electrum, una de las cartetas Bitcoin más populares, ha sido reportada con un error (o bug) crítico que pudiera poner en riesgo los fondos guardados en las carteras de todos sus usuarios, de acuerdo con el administrador de Bitcointalk, theymos.
En su publicación, explica que tal exposición pudiera permitir “a cualquier sitio web robar tu cartera vía JavaScript”, con la posibilidad de que dicho bug afecte también otros derivados altcoin de esta cartera, como Electron Cash (una cartera Bitcoin Cash creada por el mismo equipo desarrollador). Un vistazo a su fuente en Github revela más información sobre la vulnerabilidad, la cual se aprovecha de la implementación de intercambio de recursos de origen cruzado (cross-origin resource sharing, CORS por sus siglas en ingles) en un protocolo de llamada a procedimiento remoto codificado en JSON (JSON-RPC), que le facilitaría al atacante la frase de respaldo (o backup phrase) de cualquier cartera, permitiéndole tener acceso a ella y hacerse con la totalidad de sus fondos. Para que esto funcione, la víctima tiene que tener el software Electrum corriendo, así como abrir una página web maliciosa que sea capaz de explotar este bug.
El descubrimiento fue anunciado el día de ayer por un usuario de Github llamado taviso, quien no solo publicó el error, también explicó cómo fue capaz de reproducirlo. Horas más tarde, se liberó una actualización que elimina la posibilidad de aprovecharse de ese bug, indicando a los usuarios de abstenerse de usar su versión actual tan pronto como sea posible, e instalar la más nueva (3.0.4).
Según theymos, los usuarios más vulnerables a un ataque eventual son aquellos que “tienen Electrum abierto sin ninguna contraseña configurada”, y “tienen una página web abierta”. Sin embargo, si la cartera tiene una contraseña, las posibilidades de ser víctima de dicho robo son menores, pero es probable que el ataque conlleve a encontrar otra brecha en la seguridad que permita hacerse con sus fondos.
Acerca de Electrum
Electrum es una de las carteras offline más populares y confiables. Creada en noviembre del año 2011 por Thomas Voegtlin, ha ido creciendo tanto en comunidad como en desarrolladores, constantemente buscando errores y vulnerabilidades en él. Puede ser instalada en varios sistemas operativos, como Linux, Windows, OSX y Android, así como de fuentes Python.
Entre sus funciones y características, está la encriptación de carteras, generación de una clave determinista (para en casos de perder el acceso a la cartera), firma local de transacciones, y el hecho de ser de código abierto. A día de hoy se le considera una de las mejores billeteras Bitcoin.