Kraken revela que las billeteras Trezor pueden ser hackeadas

Kraken Security Labs reveló el 31 de enero que las billeteras físicas de Trezor y sus derivados pueden ser hackeados para extraer claves privadas. Aunque el procedimiento es bastante complicado, Kraken afirma que "requiere solo 15 minutos de acceso físico al dispositivo".

El ataque requiere una intervención física en la billetera Trezor extrayendo su chip y colocándolo en un dispositivo especial o soldando un par de conectores críticos.

El chip Trezor debe estar conectado a un "dispositivo glitcher" que le envíe señales en momentos específicos. Estos rompen la protección incorporada que impide que los dispositivos externos lean la memoria del chip.

El truco permite al atacante leer los parámetros críticos de la billetera, incluida la semilla de clave privada.

Aunque la semilla está encriptada con una clave generada por PIN, los investigadores pudieron forzar la combinación en solo dos minutos.

La vulnerabilidad es causada por el hardware específico utilizado por Trezor, lo que significa que la compañía no puede solucionarlo fácilmente. Tendría que rediseñar completamente la billetera y retirar todos los modelos existentes.

Mientras tanto, Kraken instó a los usuarios de Trezor y KeepKey a no permitir que nadie acceda físicamente a la billetera.

En una respuesta coordinada publicada por Trezor, el equipo minimizó el impacto de la vulnerabilidad. La compañía argumentó que el ataque mostraría signos visibles de manipulación debido a la necesidad de abrir el dispositivo, al tiempo que señaló que el ataque requiere un hardware extremadamente especializado para realizarlo.

Finalmente, el equipo sugirió que los usuarios activen la función de frase de contraseña de la billetera para protegerse de tales ataques. La contraseña nunca se almacena en el dispositivo, ya que se agrega a la semilla para generar la clave privada sobre la marcha. Kraken también señaló que esta es una alternativa viable, aunque los investigadores se refirieron a ella como "un poco torpe de usar en la práctica".

Esta característica también agrega una responsabilidad significativa a cada usuario. La frase de contraseña debe ser lo suficientemente compleja como para no ser fácilmente forzada por la fuerza bruta, pero olvidarla bloquearía completamente a los usuarios de su dinero.

Cointelegraph contactó a Kraken para obtener detalles adicionales, pero no ha recibido una respuesta hasta el momento de la publicación. El artículo se actualizará a medida que haya más información disponible.

Sigue leyendo: