Kraken Security Labs reveló el 31 de enero que las billeteras físicas de Trezor y sus derivados pueden ser hackeados para extraer claves privadas. Aunque el procedimiento es bastante complicado, Kraken afirma que "requiere solo 15 minutos de acceso físico al dispositivo".
El ataque requiere una intervención física en la billetera Trezor extrayendo su chip y colocándolo en un dispositivo especial o soldando un par de conectores críticos.
El chip Trezor debe estar conectado a un "dispositivo glitcher" que le envíe señales en momentos específicos. Estos rompen la protección incorporada que impide que los dispositivos externos lean la memoria del chip.
El truco permite al atacante leer los parámetros críticos de la billetera, incluida la semilla de clave privada.
Aunque la semilla está encriptada con una clave generada por PIN, los investigadores pudieron forzar la combinación en solo dos minutos.
La vulnerabilidad es causada por el hardware específico utilizado por Trezor, lo que significa que la compañía no puede solucionarlo fácilmente. Tendría que rediseñar completamente la billetera y retirar todos los modelos existentes.
Mientras tanto, Kraken instó a los usuarios de Trezor y KeepKey a no permitir que nadie acceda físicamente a la billetera.
En una respuesta coordinada publicada por Trezor, el equipo minimizó el impacto de la vulnerabilidad. La compañía argumentó que el ataque mostraría signos visibles de manipulación debido a la necesidad de abrir el dispositivo, al tiempo que señaló que el ataque requiere un hardware extremadamente especializado para realizarlo.
Finalmente, el equipo sugirió que los usuarios activen la función de frase de contraseña de la billetera para protegerse de tales ataques. La contraseña nunca se almacena en el dispositivo, ya que se agrega a la semilla para generar la clave privada sobre la marcha. Kraken también señaló que esta es una alternativa viable, aunque los investigadores se refirieron a ella como "un poco torpe de usar en la práctica".
Esta característica también agrega una responsabilidad significativa a cada usuario. La frase de contraseña debe ser lo suficientemente compleja como para no ser fácilmente forzada por la fuerza bruta, pero olvidarla bloquearía completamente a los usuarios de su dinero.
Cointelegraph contactó a Kraken para obtener detalles adicionales, pero no ha recibido una respuesta hasta el momento de la publicación. El artículo se actualizará a medida que haya más información disponible.
Sigue leyendo:
- Con el nuevo criptomonedero de hardware, Evercoin apunta a Trezor y Ledger
- Redditor descubre sitio web falso para la billetera de bitcoin Trezor
- Los mejores monederos de Bitcoin: Cómo elegir la bitcoin wallet correcta
- WWF lanza la herramienta Blockchain para el seguimiento de los alimentos a lo largo de la cadena de suministro
- China: WeChat bloquea la cuenta de ventas de Bitmain así como otros canales de noticias cripto "entusiastas"
- Unocoin reduce el personal en un 50% antes de la decisión de la Corte Suprema de la India sobre las criptomonedas
- El precio de Bitcoin retrocede a USD 9.2K pero la capitalización de BTC alcanza un pico histórico