-
Se aplicรณ un parche para prevenir ataque a la cadena de suministro de las carteras frรญas Nano X.
-
La nueva versiรณn de Nano S se centra en la futura incorporaciรณn de nuevas funciones.
La empresa fabricante de carteras frรญas para criptomonedas, Ledger, anunciรณ que la versiรณn 1.2.4-4 del firmware de Ledger Nano X, y la versiรณn 1.6.1 de Ledger Nano S ya estรกn disponibles para su instalaciรณn en la interfaz para interacciรณn con monederos de hardware, Ledger Live.
La informaciรณn se dio a conocer a travรฉs de publicaciones en el blog corporativo de Ledger. Allรญ se explican algunas de las optimizaciones incorporadas a los dos modelos de carteras frรญas, entre ellas las relacionadas con la seguridad y la compatibilidad de los dispositivos.
Segรบn se informa en el escrito, en el caso de la cartera frรญa Ledger Nano X se hace una mejora a la primera actualizaciรณn, que apunta a la seguridad del monedero, luego de su lanzamiento hace un aรฑo. Aclaran que buscan superar una dificultad tรฉcnica encontrada en la actualizaciรณn 1.2.4-2 realizada en julio pasado.
Por ello, esta nueva versiรณn del firmware 1.2.4-4 consiste en un parche para esta vulnerabilidad, que permite actualizar el chip MCU o microcontrolador de la cartera de la versiรณn 2.8 a la 2.10. De esta forma, el MCU se bloquea y no permite el ingreso de ningรบn cรณdigo malicioso.
Con este parche se corrige un error de hardware que podรญa comprometer las carteras frรญas Nano X.
Tal como reportรณ CriptoNoticias en julio, la divisiรณn de ciberseguridad de Kraken hizo pรบblico el hallazgo. En ese momento seรฑalรณ que, mediante un ataque a la cadena de suministro de estos monederos, un asaltante podrรญa tomar control de la computadora a la que se conecte el dispositivo e instalar un software malicioso que le permitirรญa robar criptomonedas.
Vulnerabilidad no pone en peligro los fondos, segรบn Ledger
Una vez que Kraken notificรณ a Ledger de su informe, la empresa avisรณ al pรบblico que su equipo de expertos en seguridad, conocido como Donjon, harรญa una correcciรณn a la vulnerabilidad en el chip MCU.
Acotaron que el chip MCU no maneja ningรบn dato sensible y solo funciona como enlace entre la interfaz del usuario (computadora o telรฉfono inteligente) y el elemento seguro (ST33), que es un segundo chip que almacena la frase de recuperaciรณn y el PIN.
Es por ello que el equipo Donjon asegura que con esta actualizaciรณn se corrige completamente esta vulnerabilidad, la cual โa su juicioโ no ponรญa en peligro las frases de recuperaciรณn de sus usuarios.
Concluyen que la falla detectada es fรญsica (requiere que el atacante tenga acceso directo al dispositivo) y solo apuntaba al MCU. Como el elemento seguro no se vio afectado, los fondos permanecen seguros aun sin realizar la actualizaciรณn del firmware.
Mientras la seguridad del Ledger Nano X se base en el elemento seguro, incluso un firmware malicioso en el chip MCU no puede acceder a ningรบn dato en el elemento ST33, lo que significa que sus criptomonedas siguen estando seguras.
Ledger.
Aun asรญ, lanzan esta actualizaciรณn correctiva y reiteran que, con este parche, la frase de recuperaciรณn, claves privadas y las criptomonedas de los clientes serรกn resguardadas.
En el pasado se han detectado otras vulnerabilidades en las carteras frรญas de Ledger que posibilitaban infecciones con malwares, asรญ como errores de cรณdigo que se tradujeron en momentรกneas pรฉrdidas de fondos para algunos usuarios. Por eso la empresa ha creado un programa de recompensas.
Recientemente el investigador de criptomonedas, Monokh, denunciรณ que Ledger posee una vulnerabilidad, que la empresa prefiriรณ no solucionar, la cual permite el robo de BTC. El error estรก relacionado con el uso de al menos 16 altcoins bifurcadas, asรญ como de aplicaciones que funcionan en la red de prueba de Bitcoin.
Preparan nuevas funciones para Nano S
Sobre la actualizaciรณn del firmware para las carteras frรญas Nano S, el comunicado de Ledger indica que estรก centrada en adiciones para las prรณximas funciones que se incorporarรกn al dispositivo.
Entre estas funciones se halla la curva criptogrรกfica BLS12-381 G1, utilizada en los protocolos de algunas redes blockchain. Esta tecnologรญa es especialmente usada en Zcash para la implementaciรณn de firmas digitales y pruebas de conocimiento cero, las cuales aumentan la privacidad de las transacciones.
La nueva versiรณn tambiรฉn aporta una mejora en la experiencia de usuario (UX), que facilitarรก el proceso de actualizaciรณn del firmware sin necesidad de desconectar y volver a conectar el dispositivo.
De acuerdo a la publicaciรณn de Ledger, esta actualizaciรณn solo estarรก disponible para los usuarios que hayan actualizado al menos a la versiรณn 1.5.5. ยซSi estรก ejecutando una versiรณn de firmware mรกs baja, primero puede pasar a 1.6.0. Despuรฉs de esto, puede obtener la versiรณn 1.6.1″.