Inicio Actualidad kraken ha necesitado 15 minutos para hackear las hardware wallets de Trezor

kraken ha necesitado 15 minutos para hackear las hardware wallets de Trezor

No son tan seguras como dicen ser

Si se sentía seguro manteniendo sus criptomonedas en su hardware wallet de TREZOR puede que deje de hacerlo después de leer este artículo. Y no es por menos, Kraken Security Labs ha necesitado 15 minutos para hackear distintos modelos de sus hardware wallet, específicamente Trezor One y Trezor Model T y sus derivados, como KeepKey.

Kraken descubre el posible ataque

Los investigadores de Kraken descubrieron esta vulnerabilidad el 30 de octubre de 2019 y se lo comunicaron a Trezor. El exchange ha decidido anunciarlo antes de que Trezor lo resuelva para que puedan estar protegidos.

Según afirma el exchange de criptomonedas, si alguien con suficiente conocimientos, malas intenciones tiene acceso a su hardware wallet durante 15 minutos, es capaz de dejarlo sin blanca.

Al realizar el ataque, el hacker tiene acceso a su encrypted seed (semilla encriptada) que está protegida por un código PIN que puede estar compuesto por una cifra comprendida entre 1 y 9 números.

Si bien el exchange ha necesitado invertir varios cientos de dólares en equipos, esta inversión puede reducirse a 75 dólares en hardware especializado.

Publicidad

Se necesitan cambios físicos en los modelos comprometidos

Desafortunadamente, Trezor se encuentra de manos atadas frente a esta situación. Son necesarios cambios físicos sustanciales en el modelo de los dispositivos para poder solucionar esta vulnerabilidad. El firmware del dispositivo es el que conduce a una vulnerabilidad de hardware inherente e irreparable sin realizar los cambios físicos mencionados.

Las seeds criptográficas y otros datos confidenciales son almacenados en dos microcontroladores de las wallets que es justamente donde se encuentra el problema.

Ataque a los microcontroladores

trezor
Hardware Wallet de Trezos

Kraken explica que provocando algunas fallas de voltaje adecuadas consiguió corromper los dos microcontroladores, que son los microcontroladores Cortex-M3 y Cortex-M4 basados ​​en STM32. Esto permitió acceder al contenido de la memoria flash del microcontrolador y comprometer completamente la seguridad del contenido del dispositivo forzando el código PIN. Para ello necesitaron menos de dos minutos.

«Este ataque demuestra que la familia STM32 de microcontroladores Cortex-M3 / Cortex-M4 no debe utilizarse para el almacenamiento de datos confidenciales como semillas criptográficas, incluso si se almacenan en forma cifrada», señaló Kraken.

Protéjase

Este ataque es posible siempre que no se utilice la función «frase de contraseña» para proteger el dispositivo. Esta función hace que el ataque sea inútil por lo que, si utiliza alguno de estos dispositivos en riesgo, es aconsejable que utilice la protección de frase de contraseña para proteger sus cuentas.

Respuesta de Trezor

Trezor efectivamente confirma que estos ataques son posibles y que de sucederle, dejaría huellas en su dispositivo. Los dispositivos afectados mostrarán evidencias de manipulación pues es necesario abrir físicamente la carcasa para acceder a los microchips STM32.

Trezor también aconseja mantener el dispositivo lejos de extraños y utilizar la frase de contraseña.

Bárbara Nogales
Licenciada en Administración y dirección de empresas en la Universitat Rovira i Virgili (España) 2 años de experiencia como redactora de Bitcoin.es

Dejar respuesta

Please enter your comment!
Please enter your name here

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

- Publicidad -

Most Popular

¿Qué es y como comprar Holochain (HOT)? Toda la información y mejores consejos

Holochain se queda lejos de ser una simple criptomoneda más. Sus objetivos sobrepasan los de la gran mayoría, y es que, pretende ser nada...

¿Qué es y cómo comprar Verge (XVG)? Toda la información

¿Qué es Verge (XVG)? Verge se auto describe como una solución blockchain para el uso diario. Afirma ofrecer pagos seguros haciendo uso de su...

¿Qué es y cómo comprar Populous (PPT)? Financiación de facturas en Blockchain

 Con apenas unos años entre nosotros, las criptomonedas han sabido hacerse un sitio en la sociedad mundial. Su mejor momento lo vivieron a finales...

¿Qué es Ravencoin (RVN)? Declaraciones de verdad sobre poseedores de activos

¿Qué es Ravencoin (RVN)? Ravencoin (RVN) es una cadena de bloques dirigida a la creación de una transferencia de activos de igual a igual....
- Publicidad -