En Julio John McAfee anunció el lanzamiento de un nuevo monedero para el almacenamiento de criptomonedas “Bitfi Wallet”, asegurando que era el más seguro entre los existentes y retó a los usuarios a intentar hackearlo a cambio de una recompensa.
En su cuenta de Twitter, McAfee informó:
Para todos aquellos detractores que afirman que ‘nada es imposible’ y no creen que mi Bitfi Wallet sea el dispositivo más seguro y blindado del mundo, ofrezco una recompensa de USD $100.000 para la persona que sea capaz de hackearla. El dinero habla y las mentiras pasan de largo. Más detalles en http://Bitfi.com”.
Varias profesionales del sector de la ciberseguridad y aficionados aceptaron el desafío y se inscribieron en el “Bounty Program”, y debían adquirir el monedero por un precio de 120 dólares y pagar una entrada de 50 dólares.
El monedero incluía varios activos y el ganador tenía que lograr extraer los saldos y vaciar el BitFi Wallet.
A partir de ese momento han sido varias semanas de disputas en Twitter, Bitfi no quería aceptar las vulnerabilidades encontradas y su respuesta era siempre “que las vulnerabilidades reportadas no cumplieron con las condiciones de la recompensa y por tanto, el dispositivo no significa que haya sido pirateado”. Llegando a ofrecer una segunda recompensa más baja de 10.000 dólares, alterando las reglas y procedimientos e indicando que nadie había conseguido la anterior recompensa.
OverSoft tuiteó haciendo referencia a Saleem Rashid y Andrew Tierney:
«Tenemos acceso de root, un firmware parcheado y podemos confirmar que la billetera BitFi todavía se conecta felizmente al panel de control». Tenéis el hilo completo aquí.
OverSoft más tarde publicó una lista de directorios ROM de BitFi.
Pero al final Bifti el 30 de agosto confirmó que existen vulnerabilidades y que harán un anuncio público exhaustivo la semana que viene para reconocer y abordar todas las vulnerabilidades encontradas.
Por ahora retiran toda la oferta de recompensa y planean lanzar un programa de recompensas utilizando la plataforma Hacker One.
Bifti debió asumir sus vulnerabilidades antes por la seguridad de todos los usuarios que confiaron su dinero a ellos.