DdmrDdmr (OP)
Legendary
Offline
Activity: 2310
Merit: 10757
There are lies, damned lies and statistics. MTwain
|
|
February 15, 2024, 02:47:33 PM |
|
El Instituto Nacional de Estándares y Tecnología de EEUU está analizando una potencial vulnerabilidad de la wallet no custodial de Binance, Binace Trust wallet. Según el reporte que están analizando, la wallet podría estar usando de manera incorrecta la trezor crypto library a efectos de entropía, de manera que la wallet podría estar utilizando únicamente la hora del dispositivo para generar la entropía necesaria para generar los mnemónicos de las semillas. Lo anterior podría aprovecharse (si no lo ha hecho ya) por parte de un hacker para generar mnemónicos para distintas marcas de tiempo, y por lo que entiendo, generar los mismos mnemónicos que otra persona, pudiendo por tanto robarle sus fondos. Binance tuvo una vulnerabilidad similar en su extensión para navegadores en abril 2023, por lo que esta podría ser una segunda parte de la mismo tipología de vulnerabilidad, con el agravante de no haber previsto resolverlo en todas sus implementaciones de soluciones con una base similar en su generación de entropía. Ver: https://es.cointelegraph.com/news/us-binance-trust-wallet-ios-vulnerabilityhttps://nvd.nist.gov/vuln/detail/CVE-2024-23660https://www.binance.com/en/feed/post/132965 (descripción de la wallet)
|
|
|
|
|
|
|
|
"Bitcoin: the cutting edge of begging technology." -- Giraffe.BTC
|
|
|
Advertised sites are not endorsed by the Bitcoin Forum. They may be unsafe, untrustworthy, or illegal in your jurisdiction.
|
|
|
Hispo
Legendary
Offline
Activity: 1204
Merit: 2110
Leading Crypto Sports Betting & Casino Platform
|
|
February 15, 2024, 04:34:22 PM |
|
Yo solo una vez utilice Trust Wallet, y fue para probarle de forma breve mientras me decantaba por una billetera de uso a largo plazo. No sé ustedes, pero eso de utilizar una billetera no custodial que tiene el aval de un exchange centralizado se me hace un poco como lo que las personas del norte llaman "oxymoron". Los intereses de un desarrollador de billeteras non custodial son completamente opuestos a los que tiene en mente un Neo banco como lo es Binance. Binance y compañía quieren tener acceso a liquidez de sus clientes, y eso no es posible si todos se van a la autocustodia, aún así, no creo que Binance tenga motivaciones necesariamente mal intencionadas con Trust, por ahora yo tacharía todo esto de un error honesto y sin culpables por ahora.
En cierto modo, la vulnerabilidad es más grande de acuerdo al nivel de precisión del tiempo/hora que se utilice para la generación de la semilla. Si hablamos de segundos, es casi seguro que hubo explotación por parte de hackers o personas que se encontraron con fondos ajenos, pero si hablamos de menos de 1 milisegundo, entonces se hace mucho menos probable que se de la casualidad de un accidente.
Sea como sea, mejor buscar refugio en la generación en frío y una buena passphrase. En mi opinión.
|
..Stake.com.. | | | ▄████████████████████████████████████▄ ██ ▄▄▄▄▄▄▄▄▄▄ ▄▄▄▄▄▄▄▄▄▄ ██ ▄████▄ ██ ▀▀▀▀▀▀▀▀▀▀ ██████████ ▀▀▀▀▀▀▀▀▀▀ ██ ██████ ██ ██████████ ██ ██ ██████████ ██ ▀██▀ ██ ██ ██ ██████ ██ ██ ██ ██ ██ ██ ██████ ██ █████ ███ ██████ ██ ████▄ ██ ██ █████ ███ ████ ████ █████ ███ ████████ ██ ████ ████ ██████████ ████ ████ ████▀ ██ ██████████ ▄▄▄▄▄▄▄▄▄▄ ██████████ ██ ██ ▀▀▀▀▀▀▀▀▀▀ ██ ▀█████████▀ ▄████████████▄ ▀█████████▀ ▄▄▄▄▄▄▄▄▄▄▄▄███ ██ ██ ███▄▄▄▄▄▄▄▄▄▄▄▄ ██████████████████████████████████████████ | | | | | | ▄▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▄ █ ▄▀▄ █▀▀█▀▄▄ █ █▀█ █ ▐ ▐▌ █ ▄██▄ █ ▌ █ █ ▄██████▄ █ ▌ ▐▌ █ ██████████ █ ▐ █ █ ▐██████████▌ █ ▐ ▐▌ █ ▀▀██████▀▀ █ ▌ █ █ ▄▄▄██▄▄▄ █ ▌▐▌ █ █▐ █ █ █▐▐▌ █ █▐█ ▀▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▀█ | | | | | | ▄▄█████████▄▄ ▄██▀▀▀▀█████▀▀▀▀██▄ ▄█▀ ▐█▌ ▀█▄ ██ ▐█▌ ██ ████▄ ▄█████▄ ▄████ ████████▄███████████▄████████ ███▀ █████████████ ▀███ ██ ███████████ ██ ▀█▄ █████████ ▄█▀ ▀█▄ ▄██▀▀▀▀▀▀▀██▄ ▄▄▄█▀ ▀███████ ███████▀ ▀█████▄ ▄█████▀ ▀▀▀███▄▄▄███▀▀▀ | | | ..PLAY NOW.. |
|
|
|
seoincorporation
Legendary
Offline
Activity: 3150
Merit: 2924
Top Crypto Casino
|
|
February 15, 2024, 04:51:10 PM |
|
De manera que la wallet podría estar utilizando únicamente la hora del dispositivo para generar la entropía necesaria para generar los mnemónicos de las semillas.
Es dificil de entender como se pueden tomar la seguridad tan a la ligera y hacer movidas como esta. Me pregunto que pasaría si dos usuarios deciden crear su semilla a la misma hora en el mismo segundo, esto podría generar la misma frase mnemónica para ambos en caso de que esta vulnerabilidad sea real. La probabilidad de que esto pase es muy baja, pero debería de ser nula. No hay necesidad de exponer a los usuarios de esta manera.
|
|
|
|
Hispo
Legendary
Offline
Activity: 1204
Merit: 2110
Leading Crypto Sports Betting & Casino Platform
|
|
February 16, 2024, 12:20:13 AM |
|
De manera que la wallet podría estar utilizando únicamente la hora del dispositivo para generar la entropía necesaria para generar los mnemónicos de las semillas.
Es dificil de entender como se pueden tomar la seguridad tan a la ligera y hacer movidas como esta. Me pregunto que pasaría si dos usuarios deciden crear su semilla a la misma hora en el mismo segundo, esto podría generar la misma frase mnemónica para ambos en caso de que esta vulnerabilidad sea real. La probabilidad de que esto pase es muy baja, pero debería de ser nula. No hay necesidad de exponer a los usuarios de esta manera. Bueno, obviamente no fue algo hecho a propósito, por lo que tengo entendido, si las librerías se usan de forma correcta y todo va bien, entonces la hora solo debería ser parte de la entropia para la generación de la semilla maestra. Por lo general, se busca el utilizar datos del teléfono que serían casi imposibles de duplicar, como lo podrían ser datos de los sensores para la detección de campos magnéticos, ruido de fondo, intensidad luminica, y todo se combina para hacer que se genere un número muy grande e irrepetible (en teoría), lo que sucedió aquí es que toda esa entropia nunca fue agregada y solo se uso uno de los factores. Eso no quita nada lo grave del asunto, por supuesto, uno hubiese esperado que luego de la adquisición de Binance de esta wallet para teléfono, parte del gigantesco presupuesto de seguridad del exchange también se le asignarían a Trust. Pero bueno, misterios de la ciencia y las cosas de las prioridades de los grandes negocios...
|
..Stake.com.. | | | ▄████████████████████████████████████▄ ██ ▄▄▄▄▄▄▄▄▄▄ ▄▄▄▄▄▄▄▄▄▄ ██ ▄████▄ ██ ▀▀▀▀▀▀▀▀▀▀ ██████████ ▀▀▀▀▀▀▀▀▀▀ ██ ██████ ██ ██████████ ██ ██ ██████████ ██ ▀██▀ ██ ██ ██ ██████ ██ ██ ██ ██ ██ ██ ██████ ██ █████ ███ ██████ ██ ████▄ ██ ██ █████ ███ ████ ████ █████ ███ ████████ ██ ████ ████ ██████████ ████ ████ ████▀ ██ ██████████ ▄▄▄▄▄▄▄▄▄▄ ██████████ ██ ██ ▀▀▀▀▀▀▀▀▀▀ ██ ▀█████████▀ ▄████████████▄ ▀█████████▀ ▄▄▄▄▄▄▄▄▄▄▄▄███ ██ ██ ███▄▄▄▄▄▄▄▄▄▄▄▄ ██████████████████████████████████████████ | | | | | | ▄▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▄ █ ▄▀▄ █▀▀█▀▄▄ █ █▀█ █ ▐ ▐▌ █ ▄██▄ █ ▌ █ █ ▄██████▄ █ ▌ ▐▌ █ ██████████ █ ▐ █ █ ▐██████████▌ █ ▐ ▐▌ █ ▀▀██████▀▀ █ ▌ █ █ ▄▄▄██▄▄▄ █ ▌▐▌ █ █▐ █ █ █▐▐▌ █ █▐█ ▀▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▀█ | | | | | | ▄▄█████████▄▄ ▄██▀▀▀▀█████▀▀▀▀██▄ ▄█▀ ▐█▌ ▀█▄ ██ ▐█▌ ██ ████▄ ▄█████▄ ▄████ ████████▄███████████▄████████ ███▀ █████████████ ▀███ ██ ███████████ ██ ▀█▄ █████████ ▄█▀ ▀█▄ ▄██▀▀▀▀▀▀▀██▄ ▄▄▄█▀ ▀███████ ███████▀ ▀█████▄ ▄█████▀ ▀▀▀███▄▄▄███▀▀▀ | | | ..PLAY NOW.. |
|
|
|
|
|
Porfirii
Legendary
Offline
Activity: 1778
Merit: 2053
The Alliance Of Bitcointalk Translators - ENG>SPA
|
|
February 19, 2024, 05:48:29 AM |
|
Yo solo una vez utilice Trust Wallet, y fue para probarle de forma breve mientras me decantaba por una billetera de uso a largo plazo. -snip-.
Yo la tengo instalada pero no tengo nada en ella (y en su día prácticamente nada tampoco, no sé si llegaba a medio BNB después de que cayera tras el último ATH). Entre la Atomic, que resultó ser vulnerable, la Trust, con lo que estamos comentando ahora... se le quitan las ganas a uno de tener una wallet en el móvil. Visto lo visto, están "bien" para eso, para tener cuatro duros. Para todo lo demás, HW.
|
|
|
|
DdmrDdmr (OP)
Legendary
Offline
Activity: 2310
Merit: 10757
There are lies, damned lies and statistics. MTwain
|
|
February 19, 2024, 07:46:56 AM |
|
<…> Visto lo visto, están "bien" para eso, para tener cuatro duros. Para todo lo demás, HW.
Desde luego, aunque me pregunto si es habitual que usuarios de hardware wallets utilicen una app para su móvil, de manera que los utilicen de manera combinada. Con Ledger X es más fácil que suceda, al conectarse por bluetooth, en contraposición a tener que ir con cables de conexión con el móvil (algo poco discreto). Entiendo que es poco habitual, pero no he visto dato estadístico al respecto. En todo caso, no es una topología de uso que me chiflaría, y tener que llevar una hardware wallet encima para operar, salvo que ésta a su vez tuviese importes comedidos, tampoco sería muy recomendable.
|
|
|
|
Hispo
Legendary
Offline
Activity: 1204
Merit: 2110
Leading Crypto Sports Betting & Casino Platform
|
|
February 21, 2024, 10:30:37 PM |
|
<…> Visto lo visto, están "bien" para eso, para tener cuatro duros. Para todo lo demás, HW.
Desde luego, aunque me pregunto si es habitual que usuarios de hardware wallets utilicen una app para su móvil, de manera que los utilicen de manera combinada. Con Ledger X es más fácil que suceda, al conectarse por bluetooth, en contraposición a tener que ir con cables de conexión con el móvil (algo poco discreto). Entiendo que es poco habitual, pero no he visto dato estadístico al respecto. En todo caso, no es una topología de uso que me chiflaría, y tener que llevar una hardware wallet encima para operar, salvo que ésta a su vez tuviese importes comedidos, tampoco sería muy recomendable. Desde mi punto de vista, es una cuestión de evolución, de lo que sienta uno como usuario de activos decentralizados que es mejor para almacenar u operar. Quizá todo holder que hoy en día tiene una billetera fria, empezó con una aplicación para el móvil o la computadora. Por cierto, yo coincido con eso que has dicho. Aunque la billetera fria tenga compatibilidades y formas de utilizar un teléfono como un medio para enviar los satoshis, no es conveniente tener encima una billetera fria, de un lado a otro, obviamente puede causar pérdidas de hardware o incluso de fondos. Dependiendo del tipo vulnerabilidades conocidas que tenga el producto. Si hay algo que podemos aprender de esta noticia de vulnerabilidad, es que es mejor ir por lo seguro y solo hacer uso de esas apps que funcionan de billetera, para el manejo de cantidades modestas, o quizá solo para monedas de la test-net de la Blockchain que más nos llame la atención.
|
..Stake.com.. | | | ▄████████████████████████████████████▄ ██ ▄▄▄▄▄▄▄▄▄▄ ▄▄▄▄▄▄▄▄▄▄ ██ ▄████▄ ██ ▀▀▀▀▀▀▀▀▀▀ ██████████ ▀▀▀▀▀▀▀▀▀▀ ██ ██████ ██ ██████████ ██ ██ ██████████ ██ ▀██▀ ██ ██ ██ ██████ ██ ██ ██ ██ ██ ██ ██████ ██ █████ ███ ██████ ██ ████▄ ██ ██ █████ ███ ████ ████ █████ ███ ████████ ██ ████ ████ ██████████ ████ ████ ████▀ ██ ██████████ ▄▄▄▄▄▄▄▄▄▄ ██████████ ██ ██ ▀▀▀▀▀▀▀▀▀▀ ██ ▀█████████▀ ▄████████████▄ ▀█████████▀ ▄▄▄▄▄▄▄▄▄▄▄▄███ ██ ██ ███▄▄▄▄▄▄▄▄▄▄▄▄ ██████████████████████████████████████████ | | | | | | ▄▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▄ █ ▄▀▄ █▀▀█▀▄▄ █ █▀█ █ ▐ ▐▌ █ ▄██▄ █ ▌ █ █ ▄██████▄ █ ▌ ▐▌ █ ██████████ █ ▐ █ █ ▐██████████▌ █ ▐ ▐▌ █ ▀▀██████▀▀ █ ▌ █ █ ▄▄▄██▄▄▄ █ ▌▐▌ █ █▐ █ █ █▐▐▌ █ █▐█ ▀▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▀█ | | | | | | ▄▄█████████▄▄ ▄██▀▀▀▀█████▀▀▀▀██▄ ▄█▀ ▐█▌ ▀█▄ ██ ▐█▌ ██ ████▄ ▄█████▄ ▄████ ████████▄███████████▄████████ ███▀ █████████████ ▀███ ██ ███████████ ██ ▀█▄ █████████ ▄█▀ ▀█▄ ▄██▀▀▀▀▀▀▀██▄ ▄▄▄█▀ ▀███████ ███████▀ ▀█████▄ ▄█████▀ ▀▀▀███▄▄▄███▀▀▀ | | | ..PLAY NOW.. |
|
|
|
DdmrDdmr (OP)
Legendary
Offline
Activity: 2310
Merit: 10757
There are lies, damned lies and statistics. MTwain
|
|
February 22, 2024, 07:58:58 AM |
|
Según la página web de la wallet Trust en la app store, ésta es utilizada por más de 60M de personas, algo que parece exagerado, pero bueno. A su vez, han actualizado la versión el mismo día 15/02/2024, y posteriormente el 19/02/2024, y aunque no se detalla si este caso se ha abordado como parte de las modificaciones, por las fechas cabe la posibilidad de que esté entre los arreglos realizados. Claro que uno esperaría algo más de oficialidad en tal caso. https://apps.apple.com/tr/app/trust-crypto-bitcoin-wallet/id1288339409
|
|
|
|
|