Mycelium Wallet introdujo contraseña en monederos de Bitcoin sin informar a los usuarios

By | February 13, 2021


Un error en la cartera de Bitcoin Mycelium Wallet evita que los usuarios puedan alcanzar nuevamente a sus fondos al intentar restaurar la cartera con su frase semilla de 12 palabras.

Oportuno a una palabra que era incluida por defecto como contraseña adicional a las palabras de recuperación, desconocida para los dueños de las carteras, estos no podían recuperar el ataque a sus carteras.

El pasado 7 de abril de 2020, Mycelium Wallet, que es una de las carteras de Bitcoin más antiguas del ecosistema, introdujo por azar un bug que configuraba por defecto la palabra “passphrase” como contraseña adicional a las 12 palabras de respaldo, sin avisar al agraciado.

La aggiornamento fue introducida de modo que los usuarios que abrieron carteras y crearon su respaldo de 12 palabras, positivamente tenían una frase de recuperación de 13 palabras.

El 27 de enero de 2021 se dio decisión a este error, que parece funcionar perfectamente en la traducción de Android, pero con posiblemente algunos problemas en la traducción iPhone.

Usuarios de Mycelium no tienen información oportuna

Desde IT4Crypto, empresa de consultoría informática en Bitcoin y criptomonedas, analizaron el caso y alertaron sobre este error. En comentarios exclusivos para CriptoNoticias, Santiago Molins, CEO de IT4Crypto, explicó que la mayoría de carteras permiten configurar una contraseña adicional, por otra parte de las 12 palabras de respaldo o backup derivadas del tipificado BIP-39, pero Mycelium error al no informar a sus usuarios que esta palabra adicional se está configurando por defecto.

No comunicar que la palabra “passphrase” fue configurada como contraseña, es lo que causa desazón entre los usuarios de Mycelium, quienes en primera instancia dan por perdidos sus fondos.

Usuarios dan por perdidos sus fondos al no poder alcanzar de nuevo a sus carteras en Mycelium Wallet. Fuente: photosforyou/pixabay.com

“Probablemente, en el campo donde se escribe la contraseña querían poner un hint, indicar que ahí corresponde introducir una contraseña, pero se equivocaron y lo hicieron como input, agregando la palabra “passphrase” como contraseña válida”, dijo en relato a Mycelium. El desventaja está, en criterio del analista, en el hecho de que Mycelium atendiera el error de esta modo sin informar a los usuarios cómo proceder. Los usuarios están respaldando incorrectamente sus wallets y se angustian cuando ven sus carteras vacías, sin bitcoins (BTC).

Es oneroso que Mycelium ‘arreglara’ este bug sin notificarlo y al hacerlo, todos los backups creados entre el 7 de abril de 2020 y el 27 de enero de 2021, están mal de ahora en delante, porque desde Mycelium nunca dijeron que por otra parte de las 12 palabras se agregaba la palabra ‘passphrase’ como contraseña”, enfatizó el analista.

Según explicó Molins tras la cuenta de GitHub IT4Crypto, homónimo de su empresa consultora, fueron tres las consecuencias inmediatas para los usuarios.

En primer área, los usuarios no veían su arqueo de fondos en Mycelium, pero al restaurar en otras wallets, sí tendrían ataque a sus bitcoins.

Como segundo marco, otros usuarios habrían perdido el ataque a sus fondos por desconocer que la palabra “passphrase” estaba configurada como contraseña a posteriori de la traducción defectuosa de Mycelium. Sin querer, estarían cambiando con destino a una cartera con una contraseña preconfigurada, perdiendo sus fondos hasta que se enterasen de esta situación.

La tercera situación en la que se encuentran algunos usuarios es no acontecer restaurado la cartera en ningún momento, pero desconocen que tienen un backup o respaldo incompleto, con una palabra menos de lo que es positivamente.

Molins comentó que los usuarios que han introducido la contraseña “passphrase” han rematado restaurar sus fondos exitosamente. Esto no ha sido propiamente anunciado por la compañía.

“Un error lo puede tener cualquiera”, como fue la configuración por defecto de una contraseña por otra parte de las 12 palabras de respaldo. “Nunca es tarde para avisar” señaló el analista, asumiendo igualmente la responsabilidad de informar este tipo de situaciones cuando las logra descubrir.

Mycelium, cartera predilecta por muchos, está desactualizada

Molins relató a CriptoNoticias que logró detectar el problema con la ayuda del desarrollador Leo Wandersleb, quien trabaja para Mycelium, al darse cuenta que el extravío de fondos no se trataba de un robo. Los BTC no se movían de la dirección que los usuarios indicaban al consejero para su revisión, como siquiera se presentaban transacciones, tal como los casos mencionados. “Ya van tres semanas y todavía no han solucionado”, increpó el consejero.

Como poco destacable, el obligado sitio web TechRadar comenta en una publicación fresco que el servicio de soporte de Mycelium no cuenta con bienes para orientar a los nuevos usuarios de la aplicación.

Así mismo, comentan que a pesar de ofrecer características avanzadas, como la conexión privada vía Tor, “la errata de documentación nos hace evitar exhortar esta aplicación a usuarios experimentados de Bitcoin”, dice el medio anglosajón especializado en tecnología.

En su traducción de Android, la cartera es la predilecta para muchos usuarios de Bitcoin, especialmente de aquellos que ya tienen tiempo utilizando el protocolo y la criptomoneda. En el caso de iPhone, el exposición de Mycelium es poco deficiente, para impresión de Santiago Molins. Para ambas versiones, señala, se cuenta con equipos de exposición diferentes, lo que dificulta la estandarización de ambas appss.

A sumario de Molins la cartera ha quedado desactualizada. Encima, aunque el código de la cartera es amplio, la atrevimiento de Mycelium autoriza sólo su revisión como relato (Microsoft Reference Source License o MS-RSL, por sus siglas), de modo que no puede bifurcarse o implementarse independientemente.

No obstante, poder visualizar el código y comentarlo es una arte que facilita designar una cartera segura de Bitcoin.





Source link