Hechos clave:
-
La información filtrada solo era accesible tras firmar un acuerdo de confidencialidad.
-
Esto no hace ninguna diferencia para Coldcard afirmó el director de la empresa del monedero.
Desde el anonimato, una persona dio a conocer información reservada sobre el chip utilizado por MK3, la última versión del monedero hardware de Bitcoin (BTC), Coldcard.
Antes del filtraje, estos datos solo eran brindados por Microchip Technology a quien firmara un acuerdo de confidencialidad. “Yo he firmado el acuerdo de confidencialidad, así que no es necesario que lo haga usted”, le aclara al lector.
Las 118 páginas de información filtradas sobre el chip ATECC608A fueron subidas a Github. La persona responsable de la publicación explicó que, hasta la versión anterior del chip, el ATECC508A, todas las fichas técnicas eran publicadas en el sitio Web oficial de Microchip.
El informante mencionó la posibilidad de que la fabricación del ATECC508A en el futuro sea discontinuada debido a que no se lo recomienda para nuevos diseños. Si esto ocurriese, anticipó que el nuevo chip “indocumentado” lo reemplazaría por completo y esto, para él es un problema.
Este usuario, que cierra su publicación en Github con una cita del fundamentalista del código abierto, Richard Stallman, considera que la difusión de esa información sobre el chip es necesaria para solucionar el problema.
La reacción de Coldcard
Rodolfo Novak, director de Coinkite, la empresa desarrolladora de Coldcard, lejos de lamentar lo ocurrido, destacó el hecho de que ahora todos los usuarios puedan ver información que solo estaba disponible para investigadores de seguridad. Explicó también que, por estar él mismo bajo acuerdo de confidencialidad, no puede opinar públicamente sobre el contenido de la información filtrada.
Aun así, Novak no le dio mayor importancia al asunto. “Esto no hace ninguna diferencia para Coldcard”, aseguró. Dijo que no ve diferencia en que esa información sea abierta o cerrada porque cualquier investigador de seguridad o laboratorio debería poder solicitar la ficha técnica.
Por último, señaló que el acuerdo de confidencialidad no impediría que los investigadores, de manera responsable, puedan informar sobre errores del chip a los fabricantes de monederos hardware de Bitcoin.
Sobre el chip ATECC608A
El sitio Web de Coldcard, en su sección de preguntas frecuentes, describe al ATECC608A como “un dispositivo de función fija para el almacenamiento de claves privadas”. Aclara que “no es una CPU de uso general” y que, por lo tanto, ni Coinkite ni Microchip Technology pueden cambiar su funcionamiento sin alterar el hardware del propio chip.
En palabras de Miguel Vidal, cofundador de FLOS Systems, el ATECC608A “es un secure element que se usa en la industria de seguridad”. Agrega Vidal que “no hay exploits, está aislado del microprocesador principal, posee contramedidas contra fuerza bruta y está protegido contra lo que se conoce como ataques de canal lateral”, que son aquellos basados en información que se obtiene a través de la vulneración física de un sistema.
Esto último elimina una vulnerabilidad en la versión MK2. Tal como informó CriptoNoticias, el fallo de seguridad existente permitía robar BTC, aunque para esto era necesario un equipo de USD 200.000 y contar con acceso físico al dispositivo.
