Vulnerabilidad de WebAuthn expone a usuarios al robo de credenciales mediante extensiones de navegador y XSS, informa SlowMist

Resumen Ejecutivo

El CISO de SlowMist, 23pds, ha identificado una vulnerabilidad de seguridad significativa en el sistema de inicio de sesión con clave WebAuthn. Este exploit permite a los atacantes secuestrar la API WebAuthn a través de extensiones de navegador maliciosas o vulnerabilidades de scripting entre sitios (XSS). El ataque permite el robo de credenciales de usuario forzando una degradación a un inicio de sesión basado en contraseña o manipulando el proceso de registro de claves. Crucialmente, este método elude la necesidad de acceso físico al dispositivo o autenticación biométrica, lo que representa un riesgo sustancial para las plataformas que utilizan WebAuthn y resalta los desafíos de seguridad sistémicos dentro del ecosistema Web3.

El Evento en Detalle

El Director de Seguridad de la Información de SlowMist, 23pds, ha revelado un nuevo ataque de derivación de inicio de sesión con clave WebAuthn. Este método explota la API WebAuthn aprovechando extensiones de navegador maliciosas o vulnerabilidades XSS en sitios web comprometidos. El mecanismo del ataque implica forzar una degradación a inicios de sesión basados en contraseña menos seguros o manipular el proceso de registro de claves para adquirir subrepticiamente las credenciales de usuario. Una característica clave de esta vulnerabilidad es su capacidad para operar sin requerir acceso físico al dispositivo de la víctima o interacción con autenticadores biométricos como Face ID o Touch ID.

El "ataque Passkeys Pwned", demostrado en DEF CON, aclara además que se trata de una falla de implementación dentro de WebAuthn, más que una debilidad criptográfica del estándar en sí o una crítica a la FIDO Alliance. Los atacantes pueden proxy las llamadas a la API WebAuthn para falsificar respuestas de registro y autenticación de passkey. Esto demuestra que las amenazas web comunes, incluidos los ataques CDN, XSS y las extensiones de navegador maliciosas, pueden facilitar el acceso no autorizado a través de passkeys, incluso sin comprometer directamente el punto final, el sistema operativo o el navegador del usuario.

Implicaciones para el Mercado

El descubrimiento de esta vulnerabilidad de WebAuthn señala una necesidad crítica de una mayor vigilancia de seguridad en todo el panorama digital, particularmente dentro del ecosistema Web3. Si se explota ampliamente, este "Ataque de Degradación de Credenciales" podría llevar a un robo sustancial de credenciales y a una pérdida significativa de activos, con estimaciones que sugieren impactos potenciales en activos digitales por valor de cientos de millones. Este escenario refleja riesgos de la cadena de suministro anteriores, como la vulnerabilidad del CDN de Ledger Connect Kit, y destaca la prevalencia continua de fallas de control de acceso en Web3, que representaron $1.6 mil millones en pérdidas — casi el 70% de todos los fondos robados — en la primera mitad de 2025.

El potencial de suplantación de identidad y brechas de cuentas generalizadas podría disminuir gravemente la confianza del usuario en los métodos de autenticación actualmente percibidos como seguros. Las empresas y desarrolladores afectados se enfrentan a un mandato urgente de revisar sus implementaciones de WebAuthn y desplegar medidas de mitigación para salvaguardar los activos de los usuarios y mantener la confianza.

Comentario de Expertos

23pds de SlowMist llamó la atención por primera vez sobre esta vulnerabilidad crítica de WebAuthn, subrayando su potencial para el robo de credenciales sin requerir acceso físico al dispositivo. Posteriormente, SquareX Labs, a través de su presentación "Passkeys Pwned" en DEF CON, elaboró sobre la naturaleza del ataque, identificándolo como una falla de implementación que capitaliza las amenazas web comunes como los ataques CDN, XSS y extensiones de navegador.

Por separado, ChainGuard ha publicado una alerta con respecto a un "Ataque de Degradación de Credenciales" más amplio que afecta a los protocolos de autenticación de Web3, que se alinea con los mecanismos de la vulnerabilidad de WebAuthn al forzar un acceso menos seguro solo con contraseña y facilitar el robo de claves privadas. Para contrarrestar estas amenazas, los expertos en seguridad recomiendan acciones inmediatas, incluida la fortificación de los navegadores inspeccionando y bloqueando rigurosamente los scripts maliciosos, evitando que los sitios o extensiones no incluidos en la lista blanca accedan a las API de WebAuthn, e implementando la Autenticación Multifactor (MFA) para todos los Proveedores de Identidad que utilizan passkeys.

Contexto Más Amplio

WebAuthn, un estándar conjunto desarrollado por el W3C y la FIDO Alliance, representa un avance significativo hacia la autenticación sin contraseña y resistente al phishing mediante el uso de criptografía de clave pública. A pesar de su diseño robusto, la dependencia actual de partes que confían centralizadas presenta un desafío filosófico y práctico a los principios descentralizados de Web3.

Este incidente destaca el problema persistente de las fallas de control de acceso dentro del dominio Web3, que continúan siendo un vector principal para los exploits. Además, el panorama más amplio de la seguridad de Web3 también está lidiando con vulnerabilidades como los "ataques de mensaje ciego", donde los usuarios son engañados para firmar transacciones maliciosas sin saberlo; se ha descubierto que tales ataques ponen en riesgo el 75.8% de las implementaciones de autenticación de Web3 probadas. Las amenazas continuas requieren marcos de seguridad robustos, verificaciones de permisos consistentes y una adaptación continua a los vectores de ataque emergentes, acelerando potencialmente el desarrollo y la adopción de soluciones de autenticación totalmente descentralizadas y de igual a igual para mejorar la resiliencia del ecosistema Web3.

fuente:

[1] CISO de SlowMist: El inicio de sesión con clave WebAuthn tiene grandes riesgos de seguridad[2] Nueva vulnerabilidad de WebAuthn expone a usuarios al robo de credenciales - Binance[3] Resumen de nuestra charla “Passkeys Pwned” en DEF CON - SquareX Labs

Related News

Sep 22 2025, 10:20

Bitget lanza contratos perpetuos de acciones estadounidenses y futuros de índices RWA para Tesla, Nvidia y Circle

Resumen Ejecutivo Bitget ha lanzado 25 contratos perpetuos con margen USDT para acciones estadounidenses y contratos perpetuos de índices de activos del mundo real (RWA) para Tesla, Nvidia y Circle, ampliando significativamente el comercio de derivados criptográficos a las acciones tradicionales. Este movimiento estratégico amplía la accesibilidad de los activos para los traders de criptomonedas y está diseñado para aumentar la cuota de mercado y el volumen de operaciones de Bitget al difuminar las líneas entre los mercados de activos tradicionales y digitales. El Evento en Detalle Bitget ha introducido dos ofertas distintas diseñadas para integrar los mercados de criptomonedas y financieros tradicionales. La plataforma ahora ofrece 25 contratos perpetuos con margen USDT para acciones estadounidenses prominentes, incluyendo Apple, Tesla, Amazon y Nvidia. Estos contratos presentan un rango de apalancamiento flexible de 1x a 25x y facilitan el comercio 5x24 horas, presentando una alternativa a los servicios de corretaje convencionales. Las operaciones comerciales se alinean con los días festivos del mercado tradicional, durante los cuales estos contratos se suspenden. automated.Además, Bitget lanzó oficialmente su Contrato Perpetuo de Índice RWA el 20 de agosto de 2025. Este producto proporciona exposición continua a la valoración de activos del mundo real a través de contratos específicamente vinculados al rendimiento de Tesla, Nvidia y Circle. Esta innovación sirve como un mecanismo clave para que el comercio de derivados criptográficos refleje directamente la dinámica de las acciones tokenizadas, marcando un paso crítico en la conexión de las clases de activos tradicionales y digitales. Deconstruyendo la Mecánica Financiera Los Contratos Perpetuos de Índices RWA incorporan un modelo de índice compuesto sofisticado para establecer los precios. Para el contrato RWA de Tesla, los datos de precios se agregan de múltiples fuentes de acciones tokenizadas, incluido xStocks, lo que mitiga la dependencia de una única fuente de precios y garantiza una valoración sólida. De manera similar, el contrato RWA de Nvidia agrupa los activos NVDA tokenizados de varios emisores para mantener una fijación de precios equilibrada, operando de manera similar a los perpetuos de criptomonedas existentes con liquidaciones por hora durante los períodos de negociación activa. El contrato RWA CRCL/USDT para Circle también emplea esta estrategia de índice compuesto, extrayendo datos de precios de diversas fuentes de tokens RWA para una mayor referencia y estabilidad. Estos contratos RWA están completamente integrados dentro del marco de derivados de Bitget, admitiendo las mismas configuraciones de margen y apalancamiento que sus otras ofertas. El intercambio mantiene un ciclo de negociación de 5 días con liquidaciones por hora. Durante los períodos de cierre del mercado tradicional, los precios permanecen fijos, aunque los traders conservan la funcionalidad para ajustar el margen o cancelar órdenes. Bitget aplica estrictas reglas de liquidación, consistentes con sus derivados de criptomonedas, para gestionar el riesgo de negociación. Estrategia Comercial y Posicionamiento en el Mercado La expansión de Bitget hacia los contratos perpetuos de acciones estadounidenses y los futuros de índices RWA se alinea con su estrategia más amplia para asegurar una mayor participación en el mercado de derivados y atraer capital institucional. Las iniciativas estratégicas de la plataforma han impulsado significativamente su crecimiento, alcanzando un promedio de $750 mil millones en volumen de negociación de derivados mensuales a mediados de 2025, con los derivados constituyendo el 90% de su actividad total. De noviembre de 2023 a junio de 2025, Bitget registró $11.5 billones en volumen acumulado de derivados, solidificando su posición entre los cuatro principales intercambios globales. Este crecimiento es impulsado sustancialmente por la participación institucional, que contribuyó con el 50% del volumen de derivados y el 80% del volumen de negociación al contado en la primera mitad de 2025. Bitget ha desarrollado una infraestructura de grado institucional, incluyendo un sistema de margen unificado, programas de préstamos institucionales y un Programa de Incentivos de Liquidez. El token nativo de la plataforma, BGB, experimentó un aumento del 860% en lo que va del año, posicionándolo como el tercer activo más negociado en Bitget. La alta liquidez de la plataforma, evidenciada por sus clasificaciones líderes en profundidad spot agregada de ETH y SOL, mejora su atractivo para los actores institucionales que requieren entornos comerciales confiables. Esta estrategia refleja el enfoque de entidades como MicroStrategy, que han mezclado con éxito activos financieros tradicionales con estrategias de activos digitales. La adquisición por parte de Bitget de licencias regulatorias en El Salvador y Georgia subraya aún más su compromiso con el cumplimiento y la expansión del mercado global. Implicaciones para el Mercado La introducción por parte de Bitget de contratos perpetuos de acciones estadounidenses y contratos de índices RWA tiene implicaciones sustanciales para el mercado. Acelera la convergencia de las finanzas tradicionales (TradFi) y las finanzas descentralizadas (DeFi), impulsando el mercado de criptomonedas hacia un modelo económico global "siempre activo". Se espera que este desarrollo aumente la demanda de stablecoins como USDT como garantía. También podría incentivar a otros intercambios de criptomonedas a ofrecer productos financieros tradicionales similares, fomentando una mayor competencia y acelerando la integración de estos mercados distintos. Si bien estas nuevas ofertas presentan vías para la diversificación, la cobertura y las oportunidades de negociación especulativa para los participantes en criptomonedas, simultáneamente introducen nuevos factores de riesgo vinculados a la volatilidad del mercado de valores tradicional en el ecosistema de las criptomonedas. El aumento observable en la participación institucional, como lo indican las métricas de rendimiento de Bitget, sugiere una maduración de los derivados de criptomonedas como una clase de activos reconocida. Esta tendencia es consistente con los diálogos regulatorios en curso en los EE. UU., donde entidades como la SEC y la CFTC están investigando marcos para mercados de capital 24/7 y contratos de futuros perpetuos, anticipando un estado futuro donde los mercados de activos tradicionales y digitales operen de manera cohesiva. Contexto Más Amplio Los recientes lanzamientos de productos de Bitget son indicativos de un movimiento industrial más amplio hacia la integración de activos del mundo real (RWA) en los ecosistemas de blockchain y la expansión de los derivados de criptomonedas para abarcar instrumentos financieros tradicionales. Los organismos reguladores a nivel mundial están estableciendo progresivamente marcos más definidos para los activos digitales. La postura evolutiva de la SEC sobre los ETF de activos digitales, ejemplificada por la aprobación de los ETF spot de Bitcoin y Ethereum, sienta un precedente para futuras innovaciones, incluidos los ETF con participación. Esta evolución regulatoria, junto con iniciativas como las solicitudes de tZERO para las licencias DCO y DCM de la CFTC para conectar los derivados tradicionales con los activos digitales, señala un giro estratégico hacia mercados financieros integrados y conformes. La expansión de plataformas como Bitget proporciona una ilustración tangible de cómo la tecnología blockchain se está utilizando para construir mercados de capital más eficientes y accesibles, contribuyendo a lo que algunos analistas denominan "Capitalismo 2.0" a través de la habilitación de instrumentos financieros programables y personalizables.

Sep 22 2025, 10:05

Se aclara el estado de cotización de Anoma (XAN) en medio de especulaciones del mercado; Mainnet anticipada para 2025

Resumen Ejecutivo El proyecto Anoma, un sistema operativo descentralizado con una arquitectura centrada en la intención para Web3, tiene como objetivo lanzar su red principal y cotizar su token nativo XAN a finales de 2025. Esta cronología aclara las especulaciones anteriores del mercado con respecto a una cotización inmediata en exchanges como Bybit. La visión de Anoma busca proporcionar una capa de aplicación unificada para Web3, abstrayendo las complejidades de la infraestructura para desarrolladores y usuarios a través de su enfoque novedoso para la gestión de estados y una red de solucionadores plug-and-play. El Evento en Detalle Informes recientes que circularon en el mercado de criptomonedas sugerían una cotización inminente de Anoma (XAN) en el mercado spot de Bybit, con una fecha específica del 23 de septiembre, 10 AM UTC. Sin embargo, una investigación exhaustiva indica que el token Anoma (XAN) no ha sido cotizado en ningún exchange hasta ahora. El proyecto se encuentra actualmente en la fase de testnet, con el lanzamiento de la red principal y una posible cotización del token anticipada para finales de 2025, probablemente entre noviembre y diciembre. Se aconseja a los usuarios que monitoreen los canales oficiales para obtener actualizaciones confirmadas sobre cualquier cotización futura. Anoma se está desarrollando como un sistema operativo descentralizado diseñado para unificar la capa de aplicación de Web3. Su innovación central es una arquitectura centrada en la intención, donde los usuarios expresan los resultados deseados en lugar de ejecutar procesos técnicos complejos. Este enfoque se complementa con la privacidad de conocimiento cero, que protege los detalles de las transacciones mientras mantiene la seguridad, y la componibilidad entre cadenas, lo que permite una comunicación fluida entre activos y aplicaciones en varias blockchains. El proyecto se posiciona como una arquitectura blockchain de tercera generación, que ofrece flexibilidad y adaptabilidad dinámica a diferencia de los sistemas blockchain convencionales y rígidos. Mecánica Financiera y Tokenómica El token XAN es el activo nativo del protocolo Anoma, sirviendo como motor económico de su ecosistema. Tiene un suministro total fijo de 10 mil millones de tokens. XAN es integral para las tarifas de red, incentivando a los solucionadores que cumplen las intenciones de los usuarios, asegurando la cadena a través del staking y participando en las decisiones de gobernanza. La distribución de tokens incluye asignaciones para la Comunidad, el Mercado y la Liquidez (25%), Investigación y Desarrollo y el Ecosistema (19%), la Fundación Anoma (10%), los Inversores (31%) y los Contribuidores Principales (15%). Se aplica un cronograma de adquisición significativo a los tokens asignados a la Fundación, I+D, Inversores y Contribuidores Principales, con un período de bloqueo de 12 meses seguido de un desbloqueo lineal durante 36 meses, lo que indica una estrategia de compromiso a largo plazo. Anoma ha asegurado una financiación sustancial, recaudando 60,25 millones de dólares en múltiples rondas. Entre los inversores notables se incluyen Polychain Capital, Coinbase Ventures, Electric Capital y Delphi Digital, lo que indica un fuerte respaldo institucional a su visión. Estrategia Comercial y Posicionamiento en el Mercado La estrategia comercial de Anoma se centra en abordar la fragmentación y la complejidad inherentes al panorama actual de Web3. Al desarrollar una "capa de aplicación unificada", busca simplificar la experiencia de desarrollo y de usuario, permitiendo a los desarrolladores crear aplicaciones que funcionen en cualquier blockchain sin preocuparse por la infraestructura subyacente. Este enfoque es análogo a cómo Windows unificó el entorno informático personal, abstrayendo las complejidades del hardware para usuarios y desarrolladores. Su arquitectura centrada en la intención permite a los usuarios declarar los resultados deseados, como "Intercambiar el token A por el token B a la mejor tasa disponible", sin navegar por complejidades técnicas como conexiones de billetera, tarifas de gas o confirmaciones manuales de transacciones. Este cambio de paradigma tiene la intención de hacer que las aplicaciones Web3 sean tan intuitivas como las aplicaciones móviles Web2, superando las barreras actuales para la adopción masiva, como la confusión de billeteras, las altas tarifas de gas y la mala experiencia del usuario. El proyecto planea introducir características avanzadas como el Cifrado Completamente Homomórfico (FHE), la resolución privada, el cifrado de umbral y la Computación Multipartita (MPC). Implicaciones Más Amplias del Mercado La implementación exitosa de la visión de Anoma podría impactar significativamente el ecosistema más amplio de Web3. Al abstraer las complejidades de la infraestructura y priorizar la intención del usuario, Anoma tiene el potencial de mejorar la eficiencia del desarrollo de Web3 y la experiencia del usuario, fomentando una mayor adopción masiva. Este modelo de interacción simplificado podría atraer una nueva ola de desarrolladores y usuarios, acelerando la transición de una Web3 técnicamente desafiante a una internet más fácil de usar y orientada a los servicios. Sin embargo, Anoma enfrenta desafíos considerables, incluida la necesidad de una coordinación robusta en su red de solucionadores descentralizados, auditorías de seguridad rigurosas para su criptografía avanzada y una posible curva de aprendizaje para los desarrolladores que adopten sus herramientas como Juvix. A pesar de estos obstáculos, la ambición del proyecto de crear un entorno Web3 unificado y más accesible se alinea con los objetivos más amplios de la industria de escalabilidad, privacidad y usabilidad mejorada, posicionando a Anoma como un actor clave en la evolución de las aplicaciones descentralizadas. Si tiene éxito, podría establecer un nuevo estándar para cómo se construyen e interactúan las aplicaciones en diversos entornos de blockchain, fomentando una internet descentralizada más interconectada e intuitiva.

Sep 22 2025, 10:01

B HODL cotiza en la Bolsa de Valores de Aquis tras recaudar 13,3 millones de libras esterlinas para operaciones de tesorería de Bitcoin y Red Lightning

Resumen Ejecutivo B HODL, una nueva empresa británica, ha completado su cotización en la Bolsa de Valores de Aquis, habiendo asegurado 13,3 millones de libras esterlinas (aproximadamente 20,7 millones de dólares) en capital. Este movimiento estratégico posiciona a la empresa para implementar una estrategia de tesorería de Bitcoin y participar activamente en el ecosistema de la Red Lightning. La empresa está notablemente respaldada por la bolsa de Bitcoin del Reino Unido CoinCorner con una participación del 14,3% y por el CEO de Blockstream, Adam Back, quien posee más del 25,5% de la empresa. El Evento en Detalle Incorporada en la Isla de Man el 12 de junio de 2025, B HODL comenzó sus operaciones con el objetivo declarado de capitalizar el potencial de crecimiento de Bitcoin y su industria asociada. La empresa recaudó condicionalmente 13,3 millones de libras esterlinas mediante la emisión de 95,3 millones de nuevas acciones a un precio de 14 peniques por acción. Se ofrecieron 500.000 libras esterlinas adicionales a inversores minoristas a través de la Plataforma de Acceso Minorista Winterflood. La admisión al Aquis Growth Market estaba prevista para el 22 de septiembre de 2025, bajo el ticker BHODL. La estrategia central de B HODL implica canalizar aproximadamente el 90% de su financiación de capital directamente a la acumulación de Bitcoin. El capital restante se asigna al mantenimiento de bajos gastos operativos. Se proyecta que la generación de ingresos provenga principalmente de sus operaciones de la Red Lightning, específicamente a través de las tarifas obtenidas por el enrutamiento de transacciones. B HODL opera actualmente un nodo Lightning de 5 años de antigüedad, que se encuentra entre los 100 principales a nivel mundial por capacidad, y planea desplegar nodos adicionales a corto plazo. Freddie New se desempeña como CEO y Danny Scott como Director de Bitcoin, ambos integrales para la visión de la empresa. Mecanismos Financieros La recaudación de fondos de B HODL implicó la suscripción de 95.251.802 Acciones de Suscripción a un precio de 14 peniques por acción, lo que arrojó un total de 13.335.256,38 libras esterlinas antes de gastos. Esta inyección de capital está específicamente designada para la adquisición de Bitcoin y la ejecución de actividades operativas relacionadas con Bitcoin. El modelo financiero de la empresa enfatiza el despliegue de su tesorería de Bitcoin para generar ingresos, en lugar de simplemente mantenerla como un activo estático. Esto incluye proporcionar liquidez a sus nodos Lightning, lo que permite la rápida ampliación de las operaciones y el aumento de los ingresos por tarifas de enrutamiento. La integración de Tether (USDT) en la Red Lightning se cita como un impulsor de ingresos potencial significativo, con el mercado de stablecoins procesando actualmente 2 billones de dólares en volumen de transferencia mensual. B HODL tiene como objetivo capturar el 1% de todo el volumen de la Red Lightning. Estrategia de Negocio y Posicionamiento en el Mercado B HODL diferencia su estrategia de tesorería de Bitcoin de precedentes como MicroStrategy al utilizar activamente sus tenencias de Bitcoin para generar ingresos a través de las operaciones de la Red Lightning. Este enfoque la posiciona como el primer vehículo que cotiza en bolsa en el Reino Unido con un mandato de Bitcoin puro que se centra tanto en la acumulación como en la generación activa de ingresos. La dirección de la empresa cree que este modelo operativo, que implica el despliegue activo de Bitcoin para proporcionar liquidez y obtener tarifas, se convertirá en un estándar para otras empresas públicas que se involucren con Bitcoin en el futuro, asegurando así una ventaja de primer actor. La dirección, incluidos el CEO Freddie New y el CBO Danny Scott, tiene como objetivo establecer a B HODL como la “empresa líder de Bitcoin cotizada en el Reino Unido”. Esta ambición está respaldada por una estrategia que combina la acumulación de tesorería con el desarrollo práctico de infraestructura para el ecosistema de Bitcoin. El enfoque de la empresa en la infraestructura de la Red Lightning es un esfuerzo estratégico para construir elementos fundamentales para el futuro de Bitcoin como un estándar financiero global, anticipando que la red eventualmente reemplazará los sistemas de pago fiduciarios tradicionales para ciertas transacciones. Implicaciones más Amplias para el Mercado Se espera que este evento catalice una mayor exploración y adopción corporativa de estrategias de tesorería de Bitcoin, particularmente dentro del Reino Unido y los mercados europeos en general. La exitosa cotización y la estrategia operativa definida de B HODL subrayan el creciente interés y la inversión institucional en la infraestructura de la Red Lightning, lo que podría impulsar significativamente su adopción y liquidez. Al generar activamente ingresos de su tesorería de Bitcoin, B HODL refuerza la viabilidad de Bitcoin como un activo de tesorería corporativa dinámico, yendo más allá de la tenencia pasiva hacia la utilización activa. El enfoque de la empresa en el crecimiento de la Red Lightning, especialmente con la integración de stablecoins como Tether (USDT), destaca un cambio potencial hacia el desarrollo del ecosistema Web3 donde Bitcoin desempeña un papel central en pagos globales eficientes y de bajo costo. Este desarrollo puede influir en el sentimiento de los inversores al demostrar un modelo rentable y operativo para las empresas dentro del espacio de Bitcoin, fomentando una mayor confianza en la utilidad y el valor a largo plazo del activo. Sugiere una tendencia en la que las empresas no solo invierten en Bitcoin, sino que construyen activamente servicios e infraestructura sobre él para generar rendimientos y apoyar el crecimiento de su ecosistema más amplio.