Hechos clave:
- Cualquier persona con los recursos y conocimientos técnicos podría obtener el PIN de la cartera.
- Alrededor de USD 200.000 y conocimientos son necesarios para vulnerar la seguridad del dispositivo.
El equipo de Ledger, empresa proveedora de carteras frías de criptomonedas, publicó el 18 de mayo un comunicado en el que alertó a la comunidad y a ColdCard sobre una vulnerabilidad existente en uno de sus dispositivos.
Según el equipo de expertos en seguridad de Ledger, el monedero ColdCard MK2 tiene una vulnerabilidad que permitiría a una persona, con el conocimiento y los recursos necesarios, robar los bitcoins del usuario. En el comunicado se explica que debido a un problema dentro del chip de memoria, cualquier persona puede obtener el código PIN del dispositivo.
Sin embargo, señalan que para ejecutar el hackeo es necesario utilizar un equipo altamente especializado, que podría llegar a valer USD 200.000, y tener conocimientos muy técnicos. A pesar de ello, el equipo de Ledger dijo que alguien que posea todos los recursos necesarios puede llevar a cabo la tarea fácilmente. Explicó así cómo hicieron para dar con la vulnerabilidad del equipo y obtener el código PIN.
Una vulnerabilidad que afecta al mercado
En su comunicado, el equipo de Ledger dijo que el ataque se realiza a través de un método conocido como inyección de falla láser:
Este es un ataque de última generación en el que se usa un láser muy preciso y enfocado mientras el chip intenta ejecutar una acción. En el caso del chip ATECC508A, utilizado en las billeteras Coldcard MK2, al hacer esto en un momento muy específico, se pueden omitir las condiciones de acceso y se puede obtener el código PIN almacenado en la memoria segura. Como tal, el código PIN puede ser fácilmente forzado sin conexión.
Ledger.
Ledger aseguró que al detectar la vulnerabilidad del MK2 tienen la intención de dar más seguridad al mercado de criptomonedas. Consideran que una vulnerabilidad crítica y explotable puede causar problemas a todos los participantes del mercado de criptomonedas. El equipo de seguridad tiene como tarea mejorar sus dispositivos, y estudiar la seguridad de otros modelos existentes en el mercado.
Ante el reporte de Ledger, el equipo de ColdCard respondió a través de su cuenta de Twitter. En su mensaje dijo que se trataba de «un informe sorprendente». Consideró como «emocionante ver el nivel extremo de recursos que se dedican a la investigación de nuestros productos».
Por su parte, varios usuarios de Twitter manifestaron no estar preocupados por la vulnerabilidad, considerando que para realizar el hackeo se necesita poseer un equipo de USD 200.000, además de tener acceso físico al dispositivo. Algunos expresaron que el último dispositivo de ColdCard, el MK3, cuenta con nuevos protocolos de seguridad que lo hacen mucho más seguro.
CriptoNoticias reportó en marzo pasado que una extensión maliciosa de Google Chrome robaba la frase de recuperación de los dispositivos Ledger. Por otro lado, en enero de este año se comprobó una vulnerabilidad en las carteras frías de Trezor que facilitaba el acceso fácil a las claves privadas.
