La sección dedicada a seguridad de la plataforma criptográfica Kraken, ideó una manera de hackear las billeteras frías de Trezor.
Kraken Security Labs encontró una manera de extraer las semillas de las billeteras de hardware de Trezor, considerada la empresa líder en el sector. El ataque se puede realizar a los dos modelos de carteras que ofrece la compañía: Trezor One y Trezor Model T.
Es importante recordar que las billeteras frías son consideradas por muchos expertos en la materia como las “más seguras del mercado”. Sin embargo, la publicación de Kraken donde explican que estas carteras no son invulnerables podría afectar de forma importante su fiabilidad entre los usuarios.
De hecho, de acuerdo a la información suministrada solo se necesitan 15 minutos de acceso físico al dispositivo. Además, cabe mencionar que esta es la primera vez que se divulgan los pasos detallados para llevar a cabo un ataque contra estos dispositivos.
¿Cómo lo hicieron?
De acuerdo a la página oficial de la plataforma, el ataque se basa en fallas de voltaje para extraer una semilla encriptada. Lo que quiere decir que se aprovecharon de este error para poder atacar al dispositivo.
La investigación requirió algunos cientos de dólares en equipos, pero luego de varias pruebas los miembros de Kraken pudieron colocarse en el lugar de un pirata informático. La conclusión a la que llegaron es que un delincuente cibernético podría producir en masa un dispositivo con esta “falla amigable” para vender al consumidor.
Además, enfatizaron que el ataque aprovecha las fallas inherentes del microcontrolador utilizado en las billeteras Trezor. Lo que implica que es difícil para el equipo hacer algo sobre esta vulnerabilidad sin un rediseño del hardware.
También mencionan en la publicación que esta falla es muy parecida a la que presentó la billetera KeepKey. Kraken también investigó esta cartera y descubrió que el problema era la familia de chips que estaba empleando. Que son la misma familia que usa Trezor.
Sin embargo, estos chips no están diseñados para almacenar secretos y la investigación enfatiza que proveedores como Trezor y KeepKey no deberían confiar únicamente en ellos para asegurar criptomonedas.
Medidas para evitar un hackeo si se tiene una billetera Trezor
Algunas de las recomendaciones que da el equipo de Kraken para proteger sus criptomonedas si tiene una billetera de este tipo, son:
- No permita que nadie tenga acceso físico a su billetera Trezor, de lo contrario podría perder sus criptomonedas de forma permanente.
- Habilitar su frase de contraseña BIP39 con el cliente de Trezor. Aunque esta contraseña es un poco difícil de usar en la práctica, no está almacenada en el dispositivo y, por lo tanto, es una protección que evita este ataque.
Es importante resaltar que Kraken realizó esta publicación en conjunto con el equipo de Trezor. Todo en pro de mejorar la seguridad dentro del ecosistema criptográfico.
