Hechos clave:
-
Con la actualización, se mejora la gestión de contraseñas ante posibles ataques.
-
Los monederos KeepKey también serían vulnerables. Sus creadores no trabajan en una solución.
Una nueva actualización del firmware de los monederos de hardware Trezor de Bitcoin contrarresta una vulnerabilidad asociada con la gestión de contraseñas en los dispositivos. Dicha vulnerabilidad, que afecta a una contraseña adicional conocida como “palabra 25”, expone los monederos al secuestro de fondos.
Esta vulnerabilidad parte de que el sistema de Trezor no requiere la confirmación de esta contraseña en el dispositivo cuando se introduce por el usuario para sincronizar el monedero con la computadora. Así lo expone en un artículo publicado este 2 de septiembre Marko Bencun, quien halló el error.
Esta contraseña es un factor de seguridad opcional y adicional a las 24 palabras que usa el Trezor como semilla. Su uso es opcional y sirve para ocultar fondos. Al habilitar la palabra 25, se activa un mecanismo con el cual cada vez que se introduzca una palabra errónea se crea una nueva dirección, que se muestra como si fuera la principal del monedero.
Bencum, quien es parte del equipo que hace los monederos BitBox, señala que un atacante podría interferir entre los datos compartidos entre el monedero y la computadora, impidiendo que el usuario acceda con su contraseña adicional. Y como el Trezor no pide confirmación, el usuario no tendría forma de notar que algo está funcionando de manera incorrecta. Solo se encontraría ante la nueva cartera, sin reflejar su saldo en bitcoins.
Con la actualización, presentada este 2 de septiembre, el equipo de Trezor añadió la solicitud de confirmación de la contraseña al usuario en el monedero. Ahora, la pantalla del monedero mostrará un mensaje con la contraseña y pedirá la verificación antes de su uso.
La vulnerabilidad de Trezor no permite acceso directo a los bitcoins
Gracias a la vulnerabilidad, un potencial atacante podría “ejecutar un servidor desde el cual el monedero malicioso obtendría una frase de contraseña falsa cada vez que el usuario desbloquea su monedero”. Con esto, impide el acceso del usuario a la dirección con sus fondos para luego pedir un rescate.
“Sin la frase de contraseña, el usuario no tiene forma de recuperar el control de las monedas sin la cooperación del atacante”, agrega el desarrollador, quien notificó en abril pasado a Trezor sobre este error.
El atacante solo podría impedir el acceso a los fondos, pero al estar encriptada esa contraseña adicional, no accedería directamente a los BTC. De lo contrario, en lugar de un secuestro, podría simplemente enviar los bitcoins a cualquier dirección que quisiera.
Bencum aseguró haber intentado exitosamente el ataque, conectando un Trezor con un monedero Electrum en una computadora. Cuando lo hizo, tanto el Trezor como la interfaz de escritorio cargaban sin problemas y “el usuario no tenía forma de darse cuenta de que había un ataque en curso”.
SatoshiLabs -empresa detrás de Trezor- explicó que la actualización abarca tanto los equipos Trezor One como los Trezor T. Aunque no es obligatorio, el fabricante recomienda a sus clientes actualizar sus dispositivos.
Otro monedero de Bitcoin expuesto y sin tomar acciones
La vulnerabilidad expuesta por Bencum no afectaba solamente a los monederos Trezor. También los dispositivos KeepKey, del exchange Shapeshift, corren el mismo riesgo de secuestro de fondos.
Sin embargo, en KeepKey no hay interés inmediato por corregir el error. Bencum asegura que ha estado “en contacto regular con un representante de KeepKey”. Desde la empresa le han comunicado que “todavía no han propuesto una solución para el desarrollo, indicando que están trabajando primero en elementos de mayor prioridad”, aseguró Bencum en su publicación.
En el caso de Trezor, esta actualización sigue a otra de junio de este año, donde también tuvieron que corregir una vulnerabilidad que exponía los fondos de sus usuarios. En ese caso, actualizaron el firmaware de sus dispositivos ante un error con la gestión de transacciones SegWit hallado en el mes de marzo, como reportamos en CriptoNoticias.
