Un profesional de TI en Alemania alertó a otros usuarios de Reddit después de descubrir que la función de texto predictivo de su teléfono le permitía predecir correctamente su frase de recuperación inicial completa después de escribir la primera palabra.
Ejemplo de lista de frases de inicio de recuperación BIP-39. Fuente: Seguridad de Bitcoin
Adivinando frases con semillas: ¿imposible?
Las frases iniciales, una selección aleatoria de 2048 palabras que se originan en el Protocolo de mejora de Bitcoin (BIP) 39, permiten a los usuarios hacer una copia de seguridad o recuperar el acceso a sus tenencias de criptomonedas. La posibilidad de adivinar correctamente la frase semilla correcta de 12 o 24 palabras es prácticamente imposible, incluso con la computación cuántica. Para darle una idea de qué tan baja es la probabilidad, un usuario de Reddit ejecutó los números.
Así que imagina la sorpresa de Andre, también conocido como u/Divinux en Reddit, cuando se dio cuenta de que su teléfono había adivinado con precisión la oración inicial de 12 a 24 palabras, en el orden correcto. “Primero, me sorprendió. Las primeras palabras pueden ser una coincidencia, ¿verdad? dijo, agregando:
Esto hace que sea sencillo atacar, poner los dedos en un teléfono, iniciar cualquier aplicación de chat y comenzar a escribir cualquier frase del registro BIP39 y ver lo que sugiere el teléfono.
u/Divinux en Reddit
Sin embargo, al tener conocimientos de TI y reconocer el riesgo, decidió que sería mejor informar a la comunidad.
Diferentes teclados, diferentes resultados
Para evaluar adecuadamente el riesgo, Andre decidió evaluar el rendimiento de una variedad de teclados diferentes. Sus hallazgos revelaron que GBoard de Google era el menos vulnerable, ya que no predecía cada palabra en el orden correcto. Sin embargo, los teclados de Microsoft y Samsung pudieron predecir la oración inicial palabra por palabra de forma predeterminada.
Luego emitió una advertencia a otros entusiastas de las criptomonedas:
Ni sus llaves ni sus monedas, haga su propia investigación, no FOMO, nunca invierta más de lo que está dispuesto a perder, siempre verifique la dirección a la que está enviando, siempre envíe una pequeña cantidad por adelantado y desactive sus PM en la configuración.
u/Divinux en Reddit
Tal vez de manera más pertinente, concluyó que los usuarios deberían “hacer [themselves] un sólido [favour] y prevenir [predictive text guessing the seed phrase] pasar limpieza [their] caché de tipo predictivo”. Otros, sin embargo, como u/babaossa77, sintieron que incluso eso no fue lo suficientemente lejos: “Si escribiera su frase semilla en su teléfono celular, ya consideraría esta semilla insegura y no la usaría para obtener fondos más grandes. , incluso después de borrar el caché.”
Hace solo dos semanas, MetaMask emitió una advertencia de ataque de phishing a sus usuarios, sugiriendo que cuando se trata de seguridad, es una cuestión de grado, ya que uno nunca puede ser realmente inmune al riesgo de una violación.