Hechos clave:
-
De acuerdo con Pavlov Rusnak, de Trezor, no fueron informados de manera responsable sobre la falla.
-
Se trata de un vector de ataque que requiere acceso físico al dispositivo para ser exitoso.
Miembros de wallet.fail lograron extraer las llaves privadas de un monedero de criptomonedas desarrollado por Trezor. La demostración la hicieron durante su participación en el Chaos Comunication Congress 35 (35c3) celebrado en Leipzig, Alemania, a partir del 27 de diciembre. Desde Trezor señalaron que no se dio una discusión responsable de los fallos, que fueron presentados directamente en el evento.
De acuerdo con el equipo, representado por Dmitry Nedospasov, Thomas Roth y Josh Datk, extraer las llaves privadas del monedero de Trezor podría ser una labor sencilla, siempre y cuando el atacante obtenga acceso físico al dispositivo. Además, se necesita contar con los conocimientos técnicos suficientes como para poder realizar la extracción de manera exitosa.
Una vez que el hacker tiene el monedero a su alcance, el ataque es relativamente sencillo. Para empezar, se debe romper la carcasa del monedero, con el fin de acceder directamente a la tarjeta del dispositivo. Los desarrolladores de wallet.fail crearon un hardware (dispositivo) llamado Trezor Glitcher que, al ser conectado a la tarjeta del monedero, puede extraer las llaves privadas. De este modo, el atacante puede sustraer los fondos sin problemas.
TL;DW they developed a product where you can put in a Trezor and it will extract the recovery seed pic.twitter.com/XxAT0Sy1OM
— wiz (@wiz) December 28, 2018
La única solución a este vector de ataque es programar una clave privada, un elemento de seguridad que tienen monederos como Coinomi, Samourai y la propia Trezor.
La empresa realizó una serie de publicaciones a través de su cuenta oficial en la red social Twitter, a fin de sentar una posición sobre la información develada. Wallet.fail enfatizó que aún no han recibido la información pormenorizada de la falla, tal como lo señaló Pavlov Rusnak, miembro de Trezor.
Alternativamente, puede habilitar la función de frase de contraseña, diseñada para protección adicional contra ataques físicos. Sin embargo, esta es una opción avanzada y debe saber cómo funciona antes de optar por ella. La pérdida de la contraseña dará lugar a la pérdida de fondos.
Trezor
Por su parte, miembros de wallet.fail informaron a través de sus propias cuentas en redes sociales que no han publicado información verdaderamente sensible sobre el ataque. Esto se debe a que el vector de peligro para las llaves privadas en un ataque físico como el descrito no es realmente catastrófico y la información será entregada a la empresa para la actualización pertinente, que podría tenerse para finales de enero, como señaló Rusnak.
“No estamos liberando toda la información requerida para llevar a cabo el ataque hasta que los proveedores hayan tenido tiempo suficiente para considerar posibles mitigaciones”, escribieron a través de Twitter.
Cabe destacar que, en el caso de Legder, otro reconocido monedero frío, no tuvieron éxito. La empresa publicó un comunicado en el que subrayaba este hecho: “En particular, no lograron extraer ninguna semilla ni PIN en un dispositivo robado. Todos los activos confidenciales almacenados en el Elemento Seguro permanecen seguros”, se lee en el documento.
Imagen destacada por: leowolfert / stock.adobe.com