Hechos clave:
-
La informaciĆ³n filtrada solo era accesible tras firmar un acuerdo de confidencialidad.
-
Esto no hace ninguna diferencia para Coldcard afirmĆ³ el director de la empresa del monedero.
Desde el anonimato, una persona dio a conocer informaciĆ³n reservada sobre el chip utilizado por MK3, la Ćŗltima versiĆ³n del monedero hardware de Bitcoin (BTC), Coldcard.
Antes del filtraje, estos datos solo eran brindados por Microchip Technology a quien firmara un acuerdo de confidencialidad. āYo he firmado el acuerdo de confidencialidad, asĆ que no es necesario que lo haga ustedā, le aclara al lector.
Las 118 pĆ”ginas de informaciĆ³n filtradas sobre el chip ATECC608A fueron subidas a Github. La persona responsable de la publicaciĆ³n explicĆ³ que, hasta la versiĆ³n anterior del chip, el ATECC508A, todas las fichas tĆ©cnicas eran publicadas en el sitio Web oficial de Microchip.
El informante mencionĆ³ la posibilidad de que la fabricaciĆ³n del ATECC508A en el futuro sea discontinuada debido a que no se lo recomienda para nuevos diseƱos. Si esto ocurriese, anticipĆ³ que el nuevo chip āindocumentadoā lo reemplazarĆa por completo y esto, para Ć©l es un problema.
Este usuario, que cierra su publicaciĆ³n en Github con una cita del fundamentalista del cĆ³digo abierto, Richard Stallman, considera que la difusiĆ³n de esa informaciĆ³n sobre el chip es necesaria para solucionar el problema.
La reacciĆ³n de Coldcard
Rodolfo Novak, director de Coinkite, la empresa desarrolladora de Coldcard, lejos de lamentar lo ocurrido, destacĆ³ el hecho de que ahora todos los usuarios puedan ver informaciĆ³n que solo estaba disponible para investigadores de seguridad. ExplicĆ³ tambiĆ©n que, por estar Ć©l mismo bajo acuerdo de confidencialidad, no puede opinar pĆŗblicamente sobre el contenido de la informaciĆ³n filtrada.
Aun asĆ, Novak no le dio mayor importancia al asunto. āEsto no hace ninguna diferencia para Coldcardā, asegurĆ³. Dijo que no ve diferencia en que esa informaciĆ³n sea abierta o cerrada porque cualquier investigador de seguridad o laboratorio deberĆa poder solicitar la ficha tĆ©cnica.
Por Ćŗltimo, seƱalĆ³ que el acuerdo de confidencialidad no impedirĆa que los investigadores, de manera responsable, puedan informar sobre errores del chip a los fabricantes de monederos hardware de Bitcoin.
Sobre el chip ATECC608A
El sitio Web de Coldcard, en su secciĆ³n de preguntas frecuentes, describe al ATECC608A como āun dispositivo de funciĆ³n fija para el almacenamiento de claves privadasā. Aclara que āno es una CPU de uso generalā y que, por lo tanto, ni Coinkite ni Microchip Technology pueden cambiar su funcionamiento sin alterar el hardware del propio chip.
En palabras de Miguel Vidal, cofundador de FLOS Systems, el ATECC608A āes un secure element que se usa en la industria de seguridadā. Agrega Vidal que āno hay exploits, estĆ” aislado del microprocesador principal, posee contramedidas contra fuerza bruta y estĆ” protegido contra lo que se conoce como ataques de canal lateralā, que son aquellos basados en informaciĆ³n que se obtiene a travĆ©s de la vulneraciĆ³n fĆsica de un sistema.
Esto Ćŗltimo elimina una vulnerabilidad en la versiĆ³n MK2. Tal como informĆ³ CriptoNoticias, el fallo de seguridad existente permitĆa robar BTC, aunque para esto era necesario un equipo de USD 200.000 y contar con acceso fĆsico al dispositivo.