Por Angel Di Matteo   @shadowargel

El equipo de Unciphered compartió un video mostrando cómo sustrajo las claves privadas de un Trezor Model T usando un exploit en el hardware. El CTO de Satoshi Labs aseguró que eso solo es posible si atacantes roban el monedero y este no cuenta con una clave adicional.

***

  • Equipo de Unciphered logró extraer claves privadas de un Trezor Model T
  • Aprovecharon un exploit en el hardware del dispositivo
  • Este hackeo solo funciona si se tiene el dispositivo Trezor Model T
  • CTO de Satoshi Labs indicó que esta brecha guarda relación con otra reportada en 2020
  • Indicó que el ataque es inefectivo si se protege al dispositivo con una contraseña adicional

Reportes recientemente publicados indican que, la firma de seguridad Unciphered logró hackear de forma exitosa el monedero Trezor Model T, dispositivo fabricado por el equipo de Satoshi Labs considerado como uno de los más seguros de su tipo.

Explotan vulnerabilidad en el Trezor Model T

Así lo reveló el equipo de Unciphered en un video publicado a través de YouTube, donde el equipo muestra como logró extraer de un dispositivo físico la frase semilla asociada a la billetera, todo esto a través de una vulnerabilidad presente en el hardware del equipo.

Dado que la vulnerabilidad que hizo posible este hecho tiene que ver con el hardware, Unciphered destacó que para poder acceder al código semilla es necesario tener a la mano el dispositivo que se va a hackear, por lo que dicha brecha de seguridad no puede ser explotada de manera remota a través del uso de software.

Vale destacar que el equipo de Unciphered ya tiene experiencia haciendo este tipo de procedimientos, dado que en febrero de este año también hicieron público cómo lograron hackear un monedero físico fabricado por el equipo de OneKey, otra empresa dedicada a la manufactura de este tipo de dispositivos.

En cuanto al hackeo, los responsables indicaron en el video que desarrollaron un “exploit interno” en el dispositivo Trezor, el cual les permitió extraer el firmware de la billetera. Tras implementar y aprovechar otros mecanismos, pudieron descifrar el código de 24 palabras asociado al monedero y hacerse con los fondos respectivos.

Al respecto, el cofundador de Unciphered, Eric Michaud, comentó en el video:

Cargamos el firmware que extrajimos en nuestros clústeres de craqueo de computación de alto rendimiento. Tenemos alrededor de 10 GPU y, después de un tiempo, extrajimos las claves.

Satoshi Labs responde

Tras difundirse el video sobre la brecha de seguridad, el equipo de Satoshi Labs procedió a compartir algunas precisiones, revelando que esta demostración realizada por Unciphered guarda ciertas similitudes con la vulnerabilidad reportada por los investigadores de Kraken Security Labs en 2020.

Sobre esto, el CTO de Satoshi Labs, Tomáš Sušánka, indicó que esto parece similar a una vulnerabilidad denominada Read Protection Downgrade (RDP)la cual implica que el atacante deba robar el dispositivo, manejar conocimientos tecnológicos muy avanzados y contar con equipos de alta gama.

Aunque reconoció que este es un riesgo presente para los usuarios del dispositivo, Sušánka agregó que para más seguridad, los Trezor pueden protegerse con una contraseña segura adicional, lo que habilita otra capa de protección que inhabilita completamente esta vulnerabilidad en caso de un robo.

A pesar de que Michaud indicó que la empresa tendría que retirar del mercado todos sus dispositivos para corregir esta vulnerabilidad, Sušánka afirmó que están tomando medidas para resolver este problema, lo cual implicaría el desarrollo de un nuevo elemento de seguridad en el que trabaja el equipo de Tropic Square, firma aliada de Satoshi Labs.


Artículo de Angel Di Matteo / DiarioBitcoin

Imagen de Unsplash, editada con Canva

ADVERTENCIA: Este es un artículo de carácter informativo. DiarioBitcoin es un medio de comunicación, no promociona, respalda ni recomienda ninguna inversión en particular. Vale señalar que las inversiones en criptoactivos no están reguladas en algunos países. Pueden no ser apropiadas para inversores minoristas, pues se podría perder el monto total invertido. Consulte las leyes de su país antes de invertir.