-
De acuerdo con Pavlov Rusnak, de Trezor, no fueron informados de manera responsable sobre la falla.
-
Se trata de un vector de ataque que requiere acceso fรญsico al dispositivo para ser exitoso.
Miembros de wallet.fail lograron extraer las llaves privadas de un monedero de criptomonedas desarrollado por Trezor. La demostraciรณn la hicieron durante su participaciรณn en el Chaos Comunication Congress 35 (35c3) celebrado en Leipzig, Alemania, a partir del 27 de diciembre. Desde Trezor seรฑalaron que no se dio una discusiรณn responsable de los fallos, que fueron presentados directamente en el evento.
De acuerdo con el equipo, representado por Dmitry Nedospasov, Thomas Roth y Josh Datk, extraer las llaves privadas del monedero de Trezor podrรญa ser una labor sencilla, siempre y cuando el atacante obtenga acceso fรญsico al dispositivo. Ademรกs, se necesita contar con los conocimientos tรฉcnicos suficientes como para poder realizar la extracciรณn de manera exitosa.
Una vez que el hacker tiene el monedero a su alcance, el ataque es relativamente sencillo. Para empezar, se debe romper laย carcasa del monedero,ย con el fin de acceder directamente a la tarjeta del dispositivo. Los desarrolladores de wallet.fail crearon un hardwareย (dispositivo) llamado Trezor Glitcher que, al ser conectado a la tarjeta del monedero, puede extraer las llaves privadas. De este modo, el atacante puede sustraer los fondos sin problemas.
https://twitter.com/wiz/status/1078514220382048257
La รบnica soluciรณn a este vector de ataque es programar una clave privada, un elemento de seguridad que tienen monederos como Coinomi, Samouraiย y la propia Trezor.
La empresa realizรณ una serie de publicaciones a travรฉs de su cuenta oficial en la redย socialย Twitter, a fin de sentar una posiciรณn sobre la informaciรณn develada. Wallet.fail enfatizรณ que aรบn no han recibido la informaciรณn pormenorizada de la falla, tal como lo seรฑalรณย Pavlov Rusnak, miembro de Trezor.
Alternativamente, puede habilitar la funciรณn de frase de contraseรฑa, diseรฑada para protecciรณn adicional contra ataques fรญsicos. Sin embargo, esta es una opciรณn avanzada y debe saber cรณmo funciona antes de optar por ella. La pรฉrdida de la contraseรฑa darรก lugar a la pรฉrdida de fondos.
Trezor
Por su parte, miembros de wallet.fail informaron a travรฉs de sus propias cuentas en redes sociales queย no han publicado informaciรณn verdaderamente sensible sobre el ataque. Esto se debe a que el vector de peligro para las llaves privadas en un ataque fรญsico como el descrito no es realmente catastrรณfico y la informaciรณn serรก entregada a la empresa para la actualizaciรณn pertinente, que podrรญa tenerse para finales de enero, como seรฑalรณ Rusnak.
โNo estamos liberando toda la informaciรณn requerida para llevar a cabo el ataque hasta que los proveedores hayan tenido tiempo suficiente para considerar posibles mitigacionesโ, escribieron a travรฉs de Twitter.
Cabe destacar que, en el caso de Legder, otro reconocido monedero frรญo, no tuvieron รฉxito. La empresa publicรณ un comunicado en el que subrayaba este hecho: ยซEn particular, no lograron extraer ninguna semilla ni PIN en un dispositivo robado. Todos los activos confidenciales almacenados en el Elemento Seguro permanecen segurosยป, se lee en el documento.
Imagen destacada por: leowolfert / stock.adobe.com