Bitcoin (BTC): Hardware de Billeteras Hackeadas – Falso Informe

Bitcoin (BTC): Hardware de Billeteras Hackeadas - Falso Informe

Tanto Trezor como Ledger han calificado de “juego sucio” una divulgación irresponsable. El hecho ocurrió ayer y toca un tema sensible para la comunidad Bitcoin (BTC). El grupo de piratería de hardware, wallet.fail, quienes expusieron los problemas de seguridad, negó al menos parcialmente esta afirmación. Trezir y Ledger mantienen una postura en contra.

Divulgación responsable

En el mundo del Bitcoin (BTC) la seguridad y la informática en general, los piratas informáticos generalmente solo hacen públicos sus hallazgos después de darles a las empresas tiempo para reparar las vulnerabilidades. La divulgación de posibles métodos de ataque antes de que los proveedores los hayan abordado deja a los usuarios expuestos a riesgos innecesarios.

Los proveedores responsables alientan a los piratas informáticos a atacar sus productos. Esto lo hace ya que al identificar las debilidades, la seguridad general mejora. Tanto Trezor como Ledger ofrecen programas de recompensa de errores. Con ellos recompensan a los investigadores que encuentran vulnerabilidades y las informan directamente.

Fallo Épico

Sin embargo, la presentación del Wallet.fail en la conferencia de seguridad # 35C3 parece haber golpeado como un rayo desde el cielo. Trezor claramente no estaba al tanto de las vulnerabilidades. Esto se notó ya que el CTO Pavel Rusnak saltó directamente a Twitter para decirlo. Se enteró de los problemas con el resto de la audiencia, por lo que explicó que el problema tomaría algún tiempo para solucionarlo.

Sin embargo, más tarde publicó en Twitter que había tenido una discusión constructiva de dos horas con wallet.fail sobre las vulnerabilidades. Ciertamente, parecía mucho más feliz tras el resultado de esta reunión. Su reacción es natural. La revelación podría alejar a compradores potenciales de Bitcoin (BTC) u otras altcoins.

Vulnerabilidades prácticas en el Hardware de las Billeteras de Bitcoin (BTC)

Ledger también respondió rápidamente, señalando en una publicación de blog que wallet.fail no había seguido los principios de seguridad estándar. Sin embargo, Ledger también cuestionó la practicidad de las vulnerabilidades descritas en la presentación.

Señaló específicamente que el grupo no extrajo la semilla o el PIN de ningún dispositivo. Una referencia no demasiado sutil a su competidor, Trezor, tal vez.

Además del ataque lateral de RF en el PIN del Ledger Blue, wallet.fail detalló otro ataque. En él, se utilizó un implante de hardware del dispositivo. Además de un software de PC comprometido para autorizar transacciones fraudulentas en un Ledger Nano S. La publicación del blog señaló que ambos ataques requieren mucho más esfuerzo que simplemente instalar una cámara espía para descubrir el PIN de un usuario. En igual proporción son capaces de atacar una billetera Bitcoin (BTC) para hacer más daño de quererlo.

Más vulnerabilidad

Una vulnerabilidad adicional implicaba eludir la verificación de MCU para flashear y ejecutar firmware sin firma. El Ledger afirma que esta es una de sus características, aunque un error permitió la instalación de firmware no incluido. En cualquier caso, la MCU no permite el acceso al PIN o semilla.

Wallet.fail afirma haber asesorado a Ledger sobre estos problemas hace meses, y de hecho, Ledger dice que esto ya se ha solucionado para la próxima actualización del firmware.

Dejar respuesta

Please enter your comment!
Please enter your name here

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.