Noticias

Una puerta trasera en un dispositivo de minería de Bitmains deja que cualquiera pueda detener la producción de forma remota

Se ha descubierto que un popular dispositivo comercial de minería de la moneda virtual Bitmain tiene una puerta trasera que lo podría desactivar de forma remota. La puerta trasera detiene el minado sin la autorización del usuario y podría tener importantes repercusiones en las ganancias del usuario, que invirtió en un dispositivo que tenía la función de aumentar su producción, no detenerla.

La puerta trasera se encuentra en el dispositivo conocido como “Antmine” y ha recibido el nombre de Antbleed. Tiene un funcionamiento muy simple: cada vez que uno de los aparatos se conecta a Internet, y una vez cada 11 minutos, se pone en contacto con un “servicio del puerto 7000” que se encuentra en el dominio auth.minerlink.com que pertenece a Bitmain.

Cuando esto pasa, espera una respuesta positiva del servidor, con la palabra “true” (“verdadero”) para que el aparato siga minando Bitmains como debe hacerlo. Pero si la respuesta es “false” (“falso”), el dispositivo recibe un mensaje que se traduce como “¡Detengan la minería!” y la extracción de Bitmains se detiene sin que el usuario lo haya autorizado o previsto.

La amenaza no está activa porque este dominio auth.minerlink.com todavía no se conecta con ninguna dirección IP que le de las órdenes, pero deja abierta la posibilidad de que pronto comience a hacerlo. Al establecer esta conexión también comparte con Bitmain datos que identifican al dispositivo: el número de serie de Antminer y las direcciones MAC e IP del aparato.

Por lo tanto, además de que la amenaza afecta la producción de monedas virtuales de los usuarios que compraron el aparato para agilizarla, también hay una preocupación por el efecto que pueda tener esta puerta trasera en la privacidad de sus clientes.

“Bitmain usa estos datos para hacer las revisiones de las ventas vinculándolas con los datos de distribución, entregas y envíos a los clientes, por lo que podrían servir para identificar a los usuarios”, indicó una fuente que se puso en contacto con Bitcoin Magazine pero prefirió mantenerse en el anonimato. “La minería de Bitcoins es una industria pequeña, así que no debería ser difícil conectar los equipos a bloques de distribución específicos”, explicó.

Los desarrolladores de bitcoins no tardaron en alertar sobre la amenaza desde sus cuentas de Twitter. Peter Todd, desarrollador de Bitcoin Core también, se mostró sorprendido por la amenaza y enfatizó el hecho de que Bitmain no había introducido una condición de autentificación en esa puerta trasera, por lo que cualquiera puede controlarla: “cualquier atacante MITM (ataque intermediario) o DNS puede activarlo, un 70% del hashrate se encuentra vulnerable”, dijo en su publicación, que venía acompañada de muchos emoticones que demostraban su sorpresa y alarma.

La puerta trasera todavía está abierta y se está esperando que la compañía desarrolle un parche para su dispositivo que anule la vulnerabilidad. “Aunque Bitmain no haya tenido malas intenciones, esta es una falla de seguridad significativa”, opinó la fuente anónima.

Fuentes

Bitcoin Magazine

The Register

CryptoNoticias

Una puerta trasera en un dispositivo de minería de Bitmains deja que cualquiera pueda detener la producción de forma remota

Su dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

 

  1. José Lugo

    Ciertamente, tengo una S9i que le esta pasando eso, cada dos horas se desactiva 15 minutos, es un ciclo, esta perjudicando el trabajo de minado

Informes

MosaicRegressor: acechando en las sombras de UEFI

Encontramos una imagen de firmware de la UEFI infectada con un implante malicioso, es el objeto de esta investigación. Hasta donde sabemos, este es el segundo caso conocido en que se ha detectado un firmware malicioso de la UEFI usado por un actor de amenazas.

Dark Tequila Añejo

Dark Tequila es una compleja campaña maliciosa que tiene por objetivo a los usuarios ubicados en México, con el propósito principal de robar información financiera, así como credenciales de acceso a sitios populares que van desde versionado de código fuente a cuentas de almacenamiento de archivos en línea y de registro de dominios web.

De Shamoon a StoneDrill

A partir de noviembre de 2016, Kaspersky Lab observó una nueva ola de ataques de wipers dirigidos a múltiples objetivos en el Medio Oriente. El programa malicioso utilizado en los nuevos ataques era una variante del conocido Shamoon, un gusano que tenía como objetivo a Saudi Aramco y Rasgas en 2012.

Suscríbete a nuestros correos electrónicos semanales

Las investigaciones más recientes en tu bandeja de entrada