Hechos clave:
- La vulnerabilidad permitía ataques de gasto excesivo a través de comisiones.
- Según Trezor, esa vulnerabilidad puede afectar a otros proveedores de monederos fríos.
Trezor, fabricante de monederos fríos de Bitcoin, lanzó una actualización de su firmware para los dispositivos Trezor One y Model T. La nueva versión corrige una vulnerabilidad que comprometía los fondos gastados a través de transacciones SegWit o testigo segregado.
La empresa publicó la actualización este miércoles 3 de junio. A través de una nota publicada en su blog oficial de Medium, Trezor dio detalles de las nuevas versiones lanzadas, la 2.3.1 para el Trezor One y la 1.9.1 para los Model T.
En esta nota, Satoshi Labs, empresa detrás de los monederos Trezor explica que la actualización consiste en “lidiar con las transacciones de Segwit de la misma manera que con las transacciones que no son de SegWit”. Es decir, validando los montos de las UTXO de transacciones anteriores para verificar los montos reales disponibles.
Con esta medida, explica la publicación, se resuelve la vulnerabilidad hallada en marzo pasado por Saleem Rashid. Dicha vulnerabilidad permitía un ataque mediante el cual se arrojaba un mensaje de error al intentar enviar una transacción. Al segundo intento, el atacante podía crear una nueva transacción que gastaría la mayoría del monto total en comisiones.
Recordemos que la introducción de las transacciones SegWit surgió como una forma de “aumentar la capacidad de esta cadena. Así, en lugar de aumentar el tamaño de bloque, se redistribuyen las firmas de transacción”, como se define en la guía de acrónimos de CriptoNoticias.
Según el texto de Trezor, esta vulnerabilidad puede afectar “a todos los proveedores de billeteras de hardware, algunos de los cuales solicitaron 90 días para implementar la solución”.
“Es por eso que nos llevó más tiempo de lo habitual publicar esta solución porque respetamos las reglas de divulgación coordinada”, añade la nota de Satoshi Labs.
Otras vulnerabilidades recientes
En enero de este mismo año, se comprobó otra vulnerabilidad que permitía a un atacante extraer las llaves privadas de un monedero Trezor teniendo acceso al dispositivo por unos 15 minutos.
Esa misma vulnerabilidad fue detectada poco tiempo antes para los monederos KeepKey, tal como reseñó CriptoNoticias en su momento.
Luego, hace poco más de una semana un presunto atacante habría logrado acceder a datos de miles de usuarios de Trezor, Ledger y casas de cambio, según sus propias declaraciones. Este atacante pedía una suma desconocida de dinero a cambio de no filtrar los presuntos datos.
Sin embargo, tanto Trezor como Ledger y la casa de cambio Bitso aseguraron que se trataba de una falsa alarma. En el caso de Trezor, la empresa aseguró que la lista de supuestos datos era falsa. “Hemos analizado a fondo la muestra de datos y podemos confirmar que no coincide con los registros de nuestros clientes en la tienda electrónica”, señaló Trezor en esa ocasión.
