La firma de seguridad cibernética Unciphered afirma haber descubierto como poder burlar la seguridad de las billeteras Trezor T. La firma pudo piratear y extraer la frase semilla del dispositivo contando con el mismo dispositivo físicamente.
Hace menos de 24 horas, Unciphered, una firma de seguridad cibernética, reveló que era posible piratear los dispositivos Trezor T de forma sencilla. La compañía subió un video a su canal de YouTube demostrando como la extracción de la frase semillas mnemotécnica de la billetera, o clave privada, era posible. Para realizar este «pirateo» lo único necesario es contar con el mismo dispositivo Trezor T de forma física.
La principal consigna de las billeteras de hardware es su alta seguridad en comparación con las billeteras calientes que almacenan activos conectadas a la red. Por este motivo, muchos usuarios Web3 las eligen para guardar sus tenencias y evitar posibles ataques, el modelo Trezor T parece cumplir con este requerimiento, pero es posible atacarlo debido a su baja seguridad de hardware.
Unciphered explicó que los sistemas y mecanismos de seguridad del hardware del Trezor T pueden burlarse si un pirata informático tiene una billetera T en posesión. En el video se muestra como empleando un «exploit interno» se permite al desarrollador extraer el firmware de la billetera. Este exploit aprovecha los chips de la GPU, que permiten descifrar la frase semilla del dispositivo.
El proceso no es tan sencillo como parece, pero no quita que no sea posible. Una vez se ha extraído el firmware del dispositivo Trezor T, este se introduce en lo que han denominado como un «clústeres de craqueo de computación de alto rendimiento». Con al rededor de 10 GP, el proceso solo tarda entre unas horas y unos días en obtener la clave semilla.
La respuesta de la compañía ante el caso de Trezor T
Ante esta situación, Unciphered afirmó que este problema debe de ser arreglado directamente por Trezor. Por otro lado, también sería conveniente, una vez encontrada una solución, sustituir todos los dispositivos afectados del mercado.
Trezor respondió al video afirmando que la demostración tenía similitudes con la vulnerabilidad Read Protection Downgrade (RDP), un problema descubierto por Kraken Security Labs que afectó tanto a Trezor One como a Trezor Model T. Con esto quisieron explicar que eran consciente de que podía suceder a otros dispositivos y que no es algo relativamente nuevo.
La compañía ha afirmado que ya se tomaron medidas importantes para resolver este problema. Se está trabajando de cara al futuro mediante el desarrollo de un nuevo sistema de seguridad para billeteras de hardware, desarrollado por la firma Tropic Square en estos momentos.
Seguir leyendo acerca de los motivos por los que Ledger finalmente da un paso atrás con su nuevo servicio Ledger Recover, puede parecerte interesante.