Varios usuarios han visto desaparecer sus bitcoins luego de generar una paper wallet en el sitio web “BitcoinPaperWallet”, porque no son los únicos en tener las claves privadas de sus monedas, indican investigadores de Privacy Pros. 

Según una investigación de Privacy Pros, la paper wallet “BitcoinPaperWallet”, utilizada por miles de usuarios para generar monederos de papel donde guardar sus bitcoins por mucho tiempo, tiene una puerta trasera, que es responsable de la pérdida y desaparición de más de 124,8 BTC hasta el momento, que están valorados en más de 6,35 millones de dólares, al momento de escribir este artículo. 

Colin Aulds, fundador de Privacy Pros, un blog de ciberseguridad y privacidad para Bitcoin (BTC) y las criptomonedas, hace un llamado a la cripto comunidad a no usar el sitio web “BitcoinPaperWallet” para almacenar ningún tipo de criptoactivo, debido a que la seguridad y la confiabilidad del sitio web están comprometidas. 

Según el investigador, este sitio web está ejecutando una “estafa de barrido”, donde los monederos de papel que generan los usuarios a través del portal no son seguros. Al parecer, el sitio web está manipulado y está entregando las claves privadas de los bitcoins almacenados a un estafador, que no tarda en robar los fondos y dejar vacíos los monederos. 

Te puede interesar: Hardware Wallets: La vulnerabilidad presente en Coldcard y el extraño robo en Ledger

Interés por BitcoinPaperWallet

Colin Aulds y su hermano Bryan Aulds estaban decididos a comprar un sitio web generador de wallets de papel para complementar los productos y servicios que ofrecen a sus clientes, por lo que comenzaron a investigar sobre “BitcoinPaperWallet”, el generador de monederos de papel mejor posicionado de toda la Internet, y como explicaron los investigadores, con métricas increíbles y muy prometedoras. 

Aunque la investigación de Colin y Bryan comenzó por su interés por comprar el sitio web, más tarde descubrieron que algo malo estaba ocurriendo, y que “BitcoinPaperWallet” estaba absolutamente involucrado. 

Los investigadores contactaron al fundador del sitio web, Canton Becker, pero este lo había vendido a un nuevo propietario en 2018, Sarkis Sarkissian, que Colin y Bryan trataron de contactar sin obtener respuesta alguna. Después de varios intentos, y de no saber nada del nuevo propietario, los investigadores contactaron nuevamente al fundador, Becker, quien les informó que “había recibido varios correos electrónicos a lo largo de los años de personas que afirmaban haber perdido fondos al usar el sitio”

Estas notificaciones llenaron de dudas a los investigadores, que comenzaron a indagar más a fondo para comprobar si estas eran ciertas o no. Colin y Bryan dieron con varios mensajes en redes sociales de personas que se quejaban de haber perdido millonarias sumas en Bitcoin después de haber utilizado el generador de monederos de papel. 

Aunque solo eran mensajes, y faltaban pruebas contundentes, continuaron investigando, pues podría tratarse de usuarios inexpertos que culparon al sitio web, o en su defecto, el nuevo propietario estaba utilizando el generador de paper wallets de forma maliciosa para robar los bitcoins y otras criptomonedas que almacenaban los usuarios. 

La investigación

Los investigadores de Privacy Pros decidieron no comprar el sitio, pero si descubrir la verdad detrás de las quejas de los usuarios, y comenzaron a contactar a las presuntas víctimas. En colaboración con el fundador de “BitcoinPaperWallet”, Colin y Bryan pudieron hablar con varios de los usuarios afectados, entre ellos uno llamado “Kunal”, que les indicó a los investigadores lo que había sucedido con sus fondos y les proporcionó varias de las direcciones Bitcoin afectadas. 

Los investigadores solicitaron la ayuda de otros expertos, como Tony Sanak y otros investigadores de Blockchain Intelligence Group (BIG), que rastrearon las direcciones y descubrieron que los fondos estaban siendo enrutados “intencionalmente” hacia exchanges de criptomonedas, como Binance, específicamente a una misma dirección de Binance. 

“Parece que [los fondos] fueron enrutados intencionalmente a través de esas direcciones específicas, y los fondos esencialmente se dividen y van en dos direcciones diferentes solo para terminar de nuevo en la misma dirección de Binance”, afirmó el equipo de BIG. 

Los investigadores de BIG también descubrieron que el marco de tiempo del estafador para robar los fondos es de 2 horas aproximadamente, tiempo suficiente para que las transacciones se confirmen y los usuarios puedan verificar que sus fondos están en su dirección desde un explorador blockchain. También, los investigadores de BIG señalan que quienes están detrás de esta estafa se están dedicando a drenar direcciones con grandes sumas de dinero, que contengan al menos 1 BTC en adelante. 

Las víctimas

Desde mediados de 2018, que el sitio web cambio de propietario, el número de víctimas de “BitcoinPaperWallet” es sorprendente. En 2019, un usuario en Reddit expresó que perdió todos sus bitcoins almacenados en un monedero de papel generado en “BitcoinPaperWallet” después de 8 meses de haber creado el monedero. Según afirma, sus claves no se vieron comprometidas en ningún momento, pues las almacenó con absoluta seguridad; aún así, sus fondos fueron drenados de su wallet de papel. Otro usuario, apodado “sucks1717171” también expresó en Reddit que sus bitcoins desaparecieron de su monedero de papel generado en “BitcoinPaperWallet”. 

“Los estaba enviando a una billetera de papel que generé en bitcoinpaperwallet.com. Imprimí esta billetera de papel en un pedazo de papel escondido dentro de mi casa. Nunca guardé la clave privada en ningún lugar de mi computadora”.

Sucks1717171 verificó que los bitcoins enviados llegaran a la dirección de su wallet a través de un explorador blockchain, y señala que “siempre lo hicieron”, pero a pesar de las precauciones que tomó al guardar sus claves privadas, sus bitcoins también desaparecieron. 

Varios de los redditores que respondieron a su mensaje, señalan que el error fue confiar en “BitcoinPaperWallet” y no en un hardware wallet. 

La realidad

A pesar que “BitcoinPaperWallet” era un sitio web muy popular y está muy bien posicionado en la Internet, no es un sitio seguro ni confiable para generar un monedero de papel y almacenar bitcoins u otras criptomonedas. Y el problema no es el monedero de papel o la paper wallet en sí, sino el sitio web que está comprometido y tiene una puerta trasera que lo pone en riesgo de que le roben sus fondos.

A mediados del año pasado, la compañía MyCrypto Inc. publicó en Twitter un video donde demuestra que “BitcoinPaperWallet” no es seguro, y que la vulnerabilidad de seguridad presente en este generador de monederos puede hacerle perder todos sus fondos. La compañía también indicó que esta vulnerabilidad es similar a la detectada en “WalletGenerator.net” en 2018, y que se trata de una puerta trasera que siempre reaparece en el sitio web. 

En el foro BitcoinTalk, también muchos usuarios están informando sobre los robos que han tenido luego de usar el generador de paper wallets, advirtiendo que no se utilice bitcoinpaperwallet.com en ningún momento. 

Los investigadores de Privacy Pros comprobaron que la seguridad del sitio web está comprometida cuando generaron, una y otra vez, la misma paper wallet. En su blog, Colin y Bryan muestran cómo utilizaron varios métodos para generar “distintos” monederos de papel, pero siempre tuvieron el mismo resultado predecible, y el mismo monedero. 

Vulnerabilidad de seguridad de BitcoinPaperWallet.
Fuente: Privacy Pros

El usuario de BitcoinTalk “o_e_l_e_o” explica que utilizar este generador de paper wallets sin conexión no es garantía de seguridad, puesto que este podría mostrarle fácilmente una dirección que parece “recién generada”, pero que previamente ha sido manipulada y que realmente pertenece a una lista de direcciones generadas por un atacante malintencionado, independientemente de la clave privada que se ingrese o del movimiento del mouse y las pulsaciones de teclas al azar que se realicen al momento de querer crear la wallet. 

En desarrollo

Después de descubrir el modus operandi del sitio web, los investigadores de Privacy Pro informaron a las víctimas de los sucedido y a Binance, ya que los fondos robados están siendo dirigidos a este exchange. Binance afirmó estar dispuesto a colaborar con las autoridades policiales siempre y cuando las víctimas, los propietarios de las direcciones de Bitcoin robadas, presenten un informe policial. 

Mientras tanto, la investigación aún está en desarrollo y los investigadores prometen mantener a la cripto comunidad informada sobre nuevos descubrimientos o acciones a medida que esta avance. 

Colin y Bryan Aulds explican que no se tiene certeza aún de si Sarkis Sarkissian, actual propietario del sitio web “BitcoinPaperWallet” está detrás de los robos, o si un atacante descubrió un exploit en el código del sitio y los está explotando a su beneficio, pero debido a la negativa de Sarkissian de colaborar con su investigación, “puede ser responsable de los fondos robados”.

En resumen, los investigadores recomiendan que bajo ninguna circunstancia se utilicen monederos generados en bitcoinpaperwallet.com para almacenar ninguna cantidad de Bitcoin o de otras criptomonedas. El sitio web ya no es confiable y se ha convertido en una estafa para robar sus fondos. 

Lo más recomendable en caso de querer almacenar un cantidad importante, o pequeña de Bitcoin, es que se utilicen hardware wallets de fabricantes conocidos y verificados, y no confiar en estos sitios webs que ofrecen darle un monedero “aleatorio”, ya que a pesar de las vulnerabilidades encontradas en hardware wallets, no se ha reportado ningún robo directo de criptomonedas desde estos dispositivos. 

Continúa leyendo: Soroban, la nueva herramienta de Samourai Wallet que mejora la privacidad de los usuarios