Kraken Security Labs, la división de ciberseguridad del exchange de criptomonedas con sede en los Estados Unidos, Kraken, ha identificado nuevos ataques potenciales contra la popular billetera física Ledger.
Estos ataques pueden afectar las billeteras Ledger Nano X si se ejecutan antes de que el usuario recibiera la billetera, si la billetera fue interceptada durante el envío u obtenida de un distribuidor malicioso, señaló Kraken. Esto deja a los atacantes teóricamente capaces de controlar las computadoras conectadas a las billeteras Ledger y ejecutar malware en ellas. Afortunadamente todo esto solo se mantuvo en teoría: El problema fue solucionado.
Si el fallo no hubiera sido solucionado, entonces comenzaríamos a escuchar acerca de los "ataques maliciosos con Ledger" y los "ataques a ciegas con Ledger". El primero de ellos infectaría una billetera Ledger Nano X al modificar su protocolo de depuración para que actúe como un dispositivo de entrada, como un teclado. Mediante los métodos abreviados de teclado, puede abrir un navegador y navegar al exchange de Kraken. El segundo tipo de ataque aprueba transacciones maliciosas mientras la pantalla del dispositivo está apagada. Este exploit puede manipular la pantalla de la billetera y convencer a los usuarios de presionar una serie de botones para aprobar una transacción maliciosa.
Ledger emitió un boletín de seguridad en respuesta a este descubrimiento, confirmando que esta vulnerabilidad podría conducir a escenarios de ataque a la cadena de suministro. La compañía también indicó que la última actualización del firmware protegería a los titulares de billeteras de este tipo de ataques.
"Las capacidades de depuración se desactivan permanentemente tan pronto como se instala una aplicación [...] Estos ataques no se pueden realizar una vez que se ha instalado una aplicación en el dispositivo".
La Nano X es la última billetera de criptomonedas del mayor fabricante de billeteras físicas, Ledger. Lanzada en 2019, es la única billetera de Ledger recargable que funciona de forma inalámbrica a través de Bluetooth. El 6 de julio, Cointelegraph informó sobre el CTO de Ledger, Charles Guillemet, negando la supuesta vulnerabilidad de doble gasto de Ledger.
Sigue leyendo:
- NGRAVE recauda más de 430 mil dólares en una campaña de crowdfunding para una billetera de hardware
- Provincia china utilizará QuarkChain para gestionar recursos de construcción
- Un grupo de hackers amasó USD 7 millones en criptomonedas vendiendo TDC robadas
- El CTO de Ledger afirma que supuesta vulnerabilidad es un error en la experiencia del usuario
- El CTO de Ledger explica por qué los teléfonos inteligentes nunca serán totalmente seguros para usar criptomonedas
- Descubiertas 22 extensiones de Google Chrome para el robo de criptomonedas
- Los fondos de los usuarios están a salvo tras la denuncia de una infracción de seguridad de Etana Custody
