Desarrolladores afirman que pueden acceder o hackear cualquier Hardware Wallet

El 27 de diciembre en el 35º evento anual Chaos Communication Congress (35C3), tres personas de una startup llamada Wallet Fail hackearon las carteras de hardware más populares y revelaron sus secretos en el escenario. Sin embargo, según Trezor, los piratas informáticos en 35C3 no siguieron el protocolo estándar de divulgación responsable y los desarrolladores de Ledger Wallet afirman que el equipo de Wallet Fail solo dio la impresión de vulnerabilidades críticas, enfatizando que»no fue el caso».

Las reclamaciones por error de un monedero llamado de inicio tienen un hardware de Cryptocurrency agrietado o vulnerable

El European Chaos Computer Club organiza un evento anual llamado 35 ° Chaos Communication Congress, unaconferencia que reúne a hackers, informáticos y expertos en seguridad. Este año, en 35C3, los asistentes vieron una demostración de una hora de un equipo llamado Wallet Fail, un grupo que cree que puede irrumpir o introducirse encualquier dispositivo de hardware de criptomoneda, incluidas las principales marcas como Trezor y Ledger. Wallet Fail presentó vulnerabilidades que pueden solucionarse en una actualización de firmware, pero afirman haber encontrado también problemas con los microcontroladores y los errores «requerirían una nueva revisión de hardware».

Los desarrolladores que hicieron la demostración son los siguientes: Dmitry Nedospasov, Thomas Roth, Josh Datko

Algunos de los ataques mostrados en el escenario incluían varios ataques de software. Wallet Fail mostró una presentación de diapositivas de imágenes que exponen información privada cuando el dispositivo se inició mediante flash. Aparentemente, otros ataques mostraron graves debilidades dentro de la cadena de suministro, evilmaid attacks, side channel assaults y otros tipos de técnicas de ingenieríasocial. El video muestra cómo romper la protección del gestor de arranque de la billetera de hardware, pasar por alto los micro controladores y utilizar fallas en la interfaz web para interactuar con la billetera. En una parte del video de demostración, Wallet Fail mostró un dispositivo Ledger Nano S y cargó el juego de la vieja escuela Snake que alguna vez se instaló en los teléfonos con funciones Nokia. Después de la demostración de una hora, los desarrolladores subieron el video 35C3 al startup’s Wallet.fail website.

Trezor y Ledger Wallet responden a las acusaciones de vulnerabilidad

Después de que el sitio web publicó el video y el evento 35C3 llegó a su fin, dos de los fabricantes de carteras de hardware más populares respondieron a las afirmaciones hechas por Wallet Fail. El CTO de Satoshi Labs, Pavol Rusnak, dijo a sus seguidores de Twitter que su compañía no fue informada a través del programa de divulgación responsable de Trezor y se enteró de las vulnerabilidades «desde elescenario». «Necesitamos algo de tiempo para solucionarlo y lo abordaremos, a través de una actualización de firmware a fines de enero”, enfatizó Rusnak en Twitter. Según el CTO de Satoshi Labs, este año asistió a la conferencia 35C3 y vio la demostración de primera mano.

Trezor también respondió a la demostración del video y tuiteó:

“Por favor, tenga en cuenta que esta es una vulnerabilidad física. Un atacante necesitaría acceso físico a su dispositivo, específicamente al tablero, rompiendo el caso. Si tiene control físico sobre su Trezor, puede seguir usándolo y esta vulnerabilidad no es una amenaza para usted”.

El equipo de Ledger Wallet con sede en Francia también respondió a las acusaciones de Wallet Fail. SegúnLedger, el equipo de Wallet Fail presentó un total de tres vectores de ataqueque dieron a la audiencia la impresión de “vulnerabilidades críticas”. Sin embargo, los desarrolladores de Ledger afirman que “este no es el caso” y los usuarios no deben preocuparse por proteger los activos, en dispositivos Ledger.

“En particular, no lograron extraer ninguna semilla ni PIN en un dispositivo robado. Todos los activos confidenciales almacenados en el Elemento seguro permanecen seguros», se detalla en la publicación del blog del equipo del Ledger team’s el viernes.

Ledger continuó informando:

    “Nuestra divulgación responsable es la mejor práctica a seguir para proteger a los usuarios finales y mejorar la seguridad de nuestros productos”.

Fabricantes de hardware Wallet en pie de lucha

Esta no es la primera vez que los fabricantes de hardware wallet han tenido que lidiar con piratas informáticos que afirman que pueden comprometer cualquier dispositivo. En el verano de 2017 en Def Con 25 en Las Vegas, los asistentes vieron una exhibición que supuestamente reveló vulnerabilidades en las populares hardware wallet de criptomoneda. En marzo pasado, un adolescente le dijo a Ars Technica que creó un código que podía encontrar una «puerta trasera» en los dispositivos Ledger. Sin embargo, nuevamente Ledger Wallet le dijo al público que la publicación del adolescente Saleem Rashid de 15 años, sobre ciertos vectores no era «crítica» y que los ataques «no pueden extraer las claves privadas ni la semilla».

Como es habitual, la mayoría de las vulnerabilidades se han tomado con un grano de sal porque la gran mayoría de los ataques que se muestran a lo largo de los años requieren el robo del dispositivo físico y los ataques remotos aún parecen inverosímiles. Las compañías que respondieron a la reciente demostración de Wallet Fail destacaronque las personas deben usar una frase de contraseña secundaria. Algunos veteranos de la criptomoneda también destacaron en las redes sociales la importancia de usar un PIN con dispositivos de hardware.

Referencia: news.bitcoin.com

Descargo de Responsabilidad: Este comunicado de prensa es sólo para fines informativos, la información no constituye consejo de inversión o una oferta para invertir. Las opiniones expresadas en este artículo son las del autor y no representan necesariamente los puntos de vista de infocoin, y no deben ser atribuidas a, Infocoin.

También te podría gustar...

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *