Hechos clave:
-
La vulnerabilidad permitĆa ataques de gasto excesivo a travĆ©s de comisiones.
-
SegĆŗn Trezor, esa vulnerabilidad puede afectar a otros proveedores de monederos frĆos.
Trezor, fabricante de monederos frĆos de Bitcoin, lanzĆ³ una actualizaciĆ³n de su firmware para los dispositivos Trezor One y Model T. La nueva versiĆ³n corrige una vulnerabilidad que comprometĆa los fondos gastados a travĆ©s de transacciones SegWit o testigo segregado.
La empresa publicĆ³ la actualizaciĆ³n este miĆ©rcoles 3 de junio. A travĆ©s de una nota publicada en su blog oficial de Medium, Trezor dio detalles de las nuevas versiones lanzadas, la 2.3.1 para el Trezor One y la 1.9.1 para los Model T.
En esta nota, Satoshi Labs, empresa detrĆ”s de los monederos Trezor explica que la actualizaciĆ³n consiste en ālidiar con las transacciones de Segwit de la misma manera que con las transacciones que no son de SegWitā. Es decir, validando los montos de las UTXO de transacciones anteriores para verificar los montos reales disponibles.
Con esta medida, explica la publicaciĆ³n, se resuelve la vulnerabilidad hallada en marzo pasado por Saleem Rashid. Dicha vulnerabilidad permitĆa un ataque mediante el cual se arrojaba un mensaje de error al intentar enviar una transacciĆ³n. Al segundo intento, el atacante podĆa crear una nueva transacciĆ³n que gastarĆa la mayorĆa del monto total en comisiones.
Recordemos que la introducciĆ³n de las transacciones SegWit surgiĆ³ como una forma deĀ āaumentar la capacidad de esta cadena. AsĆ, en lugar de aumentar el tamaƱo de bloque, se redistribuyen las firmas de transacciĆ³nā, como se define en la guĆa de acrĆ³nimos de CriptoNoticias.
SegĆŗn el texto de Trezor, esta vulnerabilidad puede afectar āa todos los proveedores de billeteras de hardware, algunos de los cuales solicitaron 90 dĆas para implementar la soluciĆ³nā.
āEs por eso que nos llevĆ³ mĆ”s tiempo de lo habitual publicar esta soluciĆ³n porque respetamos las reglas de divulgaciĆ³n coordinadaā, aƱade la nota de Satoshi Labs.
Otras vulnerabilidades recientes
En enero de este mismo aƱo, se comprobĆ³ otra vulnerabilidad que permitĆa a un atacante extraer las llaves privadas de un monedero Trezor teniendo acceso al dispositivo por unos 15 minutos.
Esa misma vulnerabilidad fue detectada poco tiempo antes para los monederos KeepKey, tal como reseĆ±Ć³ CriptoNoticias en su momento.
Luego, hace poco mĆ”s de una semana un presunto atacante habrĆa logrado acceder a datos de miles de usuarios de Trezor, Ledger y casas de cambio, segĆŗn sus propias declaraciones. Este atacante pedĆa una suma desconocida de dinero a cambio de no filtrar los presuntos datos.
Sin embargo, tanto Trezor como Ledger y la casa de cambio Bitso aseguraron que se trataba de una falsa alarma. En el caso de Trezor, la empresa asegurĆ³ que la lista de supuestos datos era falsa. āHemos analizado a fondo la muestra de datos y podemos confirmar que no coincide con los registros de nuestros clientes en la tienda electrĆ³nicaā, seƱalĆ³ Trezor en esa ocasiĆ³n.