Vulnerabilidad en BSV Blockchain (CVE-2025-69287)

El SDK de BSV Blockchain es un SDK unificado de TypeScript para desarrollar aplicaciones escalables en la BSV Blockchain. Antes de la versión 2.0.0, una vulnerabilidad criptográfica en la implementación de autenticación BRC-104 del SDK de TypeScript causó una preparación incorrecta de los datos de la firma, lo que resultó en incompatibilidad de firmas entre implementaciones de SDK y posibles escenarios de omisión de autenticación. La vulnerabilidad se encontraba en el archivo 'Peer.ts' del SDK de TypeScript, específicamente en los métodos 'processInitialRequest' y 'processInitialResponse' donde se preparan los datos de la firma para la autenticación mutua BRC-104. El SDK de TypeScript preparó incorrectamente los datos de la firma al concatenar cadenas nonce codificadas en base64 ('message.initialNonce + sessionNonce') y luego decodificar la cadena base64 concatenada ('base64ToBytes(concatenatedString)'). Esto produjo ~32-34 bytes de datos de firma en lugar de los 64 bytes correctos. La autenticación BRC-104 se basa en firmas criptográficas para establecer confianza mutua entre pares. Cuando la preparación de los datos de la firma es incorrecta, las firmas generadas por el SDK de TypeScript no coinciden con las esperadas por los SDK de Go/Python; la autenticación entre implementaciones falla; y un atacante podría potencialmente explotar esto para omitir las comprobaciones de autenticación. La corrección en la versión 2.0.0 asegura que todos los SDK ahora produzcan firmas criptográficas idénticas, restaurando la autenticación mutua adecuada entre implementaciones.