Bitfi, la billetera supuestamente inhackeable promovida por John McAfee anunció a través de sus cuentas oficiales que eliminaría la palabra “inhackeable” de sus productos de mercadeo, tras una nueva página a la interminable novela que los habría colocado en el ojo del huracán.
El Bitfi wallet habría estado envuelto en numerosas controversias a lo largo de las últimas semanas, tras ser hackeado en numerosas ocasiones e incluso utilizado para correr Doom, convirtiéndolos en el hazmerreír de la comunidad.
Hace unos días, Saleem Rashid y Ryan Castellucci, miembros del colectivo de hackers THCMKACGASSCO, habrían logrado extraer fondos del dispositivo incluso estando apagado, y no tardaron en hacerlo saber a través de Twitter.
on a completely unrelated note, here is a @Bitfi6 being cold boot attacked.
it turns out that rooting the device does not wipe RAM clean. who would have thought it!?
🎶 i feel this music is very appropriate for @Bitfi6 🎶 pic.twitter.com/jpSnYBd9Vk
— Schrödinger's BoxᐸOptionᐸCatᐳᐳ (@saleemrash1d) August 30, 2018
Los atacantes demostraron que la billetera de Bitfi guardaría las llaves privadas de los usuarios en la memoria interna del dispositivo, valiéndose de dos capas de seguridad, a saber; una frase secreta y una frase que serviría para encriptar dicha frase.
Asimismo, en el video de Twitter, los hackers muestran cómo pudieron acceder al dispositivo, demostrando que el rooteo de la billetera no borraba la RAM y en consecuencia, se podría acceder a las llaves de los usuarios y sustraer los fondos.
Es importante recordar que, tras ser expuestos en numerosas oportunidades, la compañía (y McAfee) se defendieron asegurando que, a pesar de que el dispositivo había sido vulnerado, el término “inhackeable” hacía referencia a la imposibilidad de hurtar los fondos del mismo. No obstante, los hackers también lograron demostrar su vulnerabilidad en este punto.
En este sentido, la compañía tomó la decisión de suspender su programa de recompensas, afirmando también que habrían contratado a un gerente de seguridad para “confirmar las vulnerabilidades” descubiertas por usuarios e investigadores.
“Si bien nuestra intención ha sido unir a la comunidad y acelerar la adopción de los activos digitales a lo largo del mundo, notamos que algunas de nuestras acciones han sido contraproducentes para esto”, declaró la compañía.
