10:00 a.m. ▪
5
min leído ▪ por
Mientras Ledger recibe golpes de su servicio de recuperación, Trezor se salpica con FUD acalorado.
Nada nuevo bajo el sol
La empresa de ciberseguridad Unciphered afirma haber tenido éxito en un ataque físico contra la billetera Trezor fabricada por Satoshi Labs.
El modelo en cuestión es el reciente Trezor T, el mismo que integra el coinjoin Wasabi para anonimizar sus bitcoins.
Trezor rápidamente hizo a un lado los temores transmitidos por bloquear. Esta vulnerabilidad se conoce desde 2020. Fue descubierta por investigadores de Kraken Security Labs.
“Parece ser una vulnerabilidad llamada ataque de degradación de RDP. Como dijimos en nuestro blog a principios de 2020, este tipo de ataque requiere el robo físico del dispositivo, conocimientos tecnológicos extremadamente sofisticados y equipos avanzados”dijo Trezor CTO Tomáš Sušánka.
Eric Michaud, cofundador de Unciphered, no dice nada más en su video: “Aunque parezca fácil, en realidad es muy difícil y complejo” para recuperar la semilla de la cartera, templa.
Contactado por Cointribune, el CEO de SatoshiLabs, Pavol Rusnak, sobriamente descartó el FUD:
“A partir de 2013, Trezor ha tenido una función de frase de contraseña que ayuda a mitigar este ataque.. »
El CEO de Trezor, Matěj Žák, abordó a Ledger:
“En Trezor, creemos que las billeteras frías no deben, en ningún momento, hacer que la frase semilla sea accesible para nadie más que para el usuario. »
La plebe lo aprueba. Las ventas de Trezor aumentaron un 900 % en una semana…
¿Ataque de degradación de RDP?
Trezor escribió en 2020 en su blog:
“Suponemos que este ataque podría ser similar al ataque de minería de semillas hecho público anteriormente por el equipo de Dungeon Ledger. […]. El ataque RDP es un ataque que tiene como objetivo la vulnerabilidad de hardware de los microchips STM32 utilizados en las billeteras Trezor One y Trezor T.
Implica el desajuste del voltaje del chip STM32. Este ataque permite que un atacante con hardware especializado, conocimiento especializado y acceso físico extraiga el contenido de la memoria flash del microcontrolador. El atacante puede entonces obtener la semilla. »
Es importante tener en cuenta que este ataque no puede tener éxito si la función de «frase de contraseña» protege el Trezor. Una frase de contraseña sólida evita por completo este ataque, lo cual es muy poco probable.
Los diferentes tipos de billetera fría
Las billeteras frías también se conocen como « carteras de hardware ». Es decir, pequeños dispositivos que a menudo se asemejan a una llave USB o una pequeña calculadora.
Existen las llamadas billeteras frías «entrehierro». Están completamente desconectados de Internet. También está prohibida cualquier forma de comunicación inalámbrica (Bluetooth, WiFi, NFC).
La firma de la transacción se realiza entonces en dos etapas. El puente entre su monedero frío y el monedero caliente de su PC se hace usando una tarjeta micro SD (o un código QR) que conecta a uno y luego al otro.
Estos tipos de billetera (ColdCard, Jade, Seed signer) admiten PSBT (Transacciones de Bitcoin parcialmente firmadas). Por ejemplo las carteras Sparrow, Electrum o Wasabi.
Por el contrario, las billeteras Ledger y Trezor se conectan directamente a la PC y, por lo tanto, a Internet. La superficie de ataque es mayor desde este punto de vista.
Luego están las billeteras que usan un «elemento seguro». Evidentemente, chips electrónicos muy seguros que evitan ataques físicos (Ledger, ColdCard y Bitbox). La compensación es que luego dejamos el reino del código abierto.
Y luego están las billeteras que simplemente usan un contraseña como Trezor o Jade. Si esta frase de contraseña es lo suficientemente fuerte, será inútil lograr extraer la semilla del material.
reunirse en el Twitter de Spacekek para más información a cargo de Théo Pantamis y Loïc Morel.
Reciba un resumen de noticias en el mundo de las criptomonedas suscribiéndose a nuestro nuevo servicio de diario y semanal para que no te pierdas nada de lo esencial de Cointribune!
Periodista que informa sobre la revolución de Bitcoin. Mis artículos tratan sobre bitcoin a través de prismas geopolíticos, económicos y libertarios.
DESCARGO DE RESPONSABILIDAD
Los comentarios y opiniones expresados en este artículo son de exclusiva responsabilidad de su autor, y no deben ser considerados como consejos de inversión. Haga su propia investigación antes de tomar cualquier decisión de inversión.