Kraken Security Labs ha revelado que los delincuentes pueden hackear las billeteras de hardware de Trezor en solo 15 minutos con acceso físico a la billetera.
Kraken Security Labs reveló la vulnerabilidad en una publicación de blog el viernes 31 de enero.
Según la publicación del blog, los piratas informáticos pueden extraer las semillas encriptadas de ambas billeteras de hardware de criptomonedas ofrecidas por el líder de la industria Trezor, Trezor One y Trezor Model T.
El equipo de los laboratorios de seguridad de Kraken realizó el ataque en las billeteras de hardware de Trezor y su hallazgo reveló que un ataque requiere solo 15 minutos de acceso físico al dispositivo.
Kraken afirmó que los piratas informáticos posiblemente pueden explotar la falla del voltaje y extraer semillas encriptadas de ambas billeteras.
La publicación del blog de Kraken dice:
“Este ataque se basa en fallas de voltaje para extraer una semilla encriptada. Esta investigación inicial requirió algunos conocimientos y varios cientos de dólares en equipos, pero estimamos que nosotros (o los delincuentes) podríamos producir en masa un dispositivo de falla amigable para el consumidor que podría venderse por alrededor de 75$ «.
Después de extraer la semilla encriptada, que estaba protegida por un PIN de 1-9 dígitos, el equipo pudo descifrar la información requerida forzando la combinación en solo dos minutos.
Según los hallazgos, esta vulnerabilidad se debe a fallas inherentes en STM32F205 y STM32F427, que son chips de microcontroladores basados en flash utilizados en las billeteras Trezor que no están diseñados para almacenar información secreta. Trezor ha sido consciente de esta vulnerabilidad desde el diseño de los productos.
El equipo de Kraken señaló además que divulgaron responsablemente todos los detalles de este ataque al equipo de Trezor el 30 de octubre de 2019, pero iban a divulgar esta información «para que la comunidad de cifrado pueda protegerse antes de que el equipo de Trezor publique una solución».
Para corregir la vulnerabilidad, el equipo de Kraken ha instado a Trezor a rediseñar completamente su hardware. El equipo también ha sugerido a los usuarios que activen la función de frase de contraseña BIP39 del cliente Trezor para evitar este tipo de ataques.
El equipo dijo que la frase de contraseña es un poco torpe, pero una protección viable porque la contraseña nunca se almacena en el dispositivo, ya que se agrega a la semilla para generar la clave privada sobre la marcha.
La billetera de hardware Trezor de SatoshiLabs se encuentra entre los grandes nombres de la industria de la billetera cripto.
Como informó Crypto Economy, Jack Dorsey, CEO del gigante de las redes sociales Twitter y el servicio de pagos Square, también compró la billetera Trezor Model T para almacenar su gran cantidad de Bitcoin.
Pavol Rusnak, CTO de SatoshiLabs, alabando a Kraken Security Labs, dijo:
“Estamos contentos de que Kraken Security Labs esté invirtiendo sus recursos en mejorar la seguridad de todo el ecosistema de Bitcoin. Valoramos este tipo de divulgación responsable y cooperación «.