Un investigador de seguridad de 15 años ha violado una billetera de hardware de moneda virtual con millones de usuarios.
Saleem Rashid explica cómo descifró el libro mayor en un publicación en línea Martes.
Rashid llevó a cabo lo que llamó un ataque de «cadena de suministro». Esto significa que el dispositivo de destino se ve comprometido antes de que cualquier usuario lo tenga en sus manos.
El ataque a la billetera Nano S de USD 100 de Ledger creó una puerta trasera en el dispositivo que podía generar direcciones y contraseñas de billetera predeterminadas. Armado con esta información, el ladrón puede hacer una serie de cosas desagradables, incluido enviar dinero de la billetera a la cuenta del atacante.
Rasheed informó a Ledger de su hackeo en noviembre. Desde entonces, la compañía ha lanzado una nueva versión del firmware destinada a abordar la vulnerabilidad en el Nano S, aunque sigue sin resolverse en otro modelo de billetera, el Ledger Blue.
Tabla de Contenidos
serio pero no critico
Por su parte, Ledger minimizó la seriedad de los hallazgos de Rashid.
«Los problemas identificados son graves (por eso recomendamos encarecidamente una actualización), pero no graves», escribió el director de seguridad de Ledger, Charles Guillemet, en una publicación en línea. «Los fondos no se vieron comprometidos y no hay evidencia de ningún ataque real a nuestro equipo».
Cualquier puerta trasera plantada en la billetera usando el método de Rashid se detectaría cuando el dispositivo se conecte a los servidores de Ledger para descargar una aplicación o realizar una actualización de firmware, explicó Guillemet en otra publicación «en profundidad» sobre el truco.
Rashid aún no ha confirmado si la actualización del firmware resolvió por completo su pirateo, dijo a Ars Technica, pero señaló que incluso si lo hiciera, las fallas de diseño del producto hacen que sea probable que el ataque pueda modificarse para que funcione nuevamente.
sombra de billetera
Si bien la vulnerabilidad descubierta por Rashid puede causar cierta preocupación entre los usuarios de billeteras de hardware Ledger, es poco probable que cause ansiedad entre los usuarios de criptomonedas en general.
«Ledger es el único proveedor de billeteras de hardware. La mayoría de los usuarios de criptomonedas no usan billeteras de hardware». latínuna organización que paga a las personas en criptomonedas para completar tareas colaborativas.
«No creo que esto tenga un gran impacto en toda la comunidad de criptomonedas», dijo a TechNewsWorld.
Si bien es probable que el ataque no afecte a la comunidad de criptomonedas en general, podría generar dudas sobre otras billeteras de hardware, dijo William J. Malik, vicepresidente de estrategia de infraestructura. tendencia micro.
«Esto significa que todas las billeteras de criptomonedas podrían sufrir vulnerabilidades similares», dijo a TechNewsWorld.
Proteger la cadena de suministro
Si bien Ledger optó por cerrar los agujeros en su billetera con una actualización de firmware, fortalecer la seguridad de su cadena de suministro podría ser fundamental.
“No importa cuán buena, segura o protegida sea una solución, siempre habrá, y siempre habrá, debilidades que se pueden usar para descifrarla”, observa Kirill Radchenko, director ejecutivo. Alipay.
“La pregunta es qué tan costoso es cerrar estas brechas y evitar que los malos actores las exploten. En este caso, el uso de empaques a prueba de manipulaciones parece ser una medida muy adecuada que puede implementarse fácilmente sin afectar los precios de los productos”, dijo. le dijo a TechNewsWorld.
Radchenko continuó: «Entonces, si una debilidad se puede abordar de manera efectiva y sin costar una fortuna, no hay necesidad de cambiar el dispositivo en sí o su arquitectura para solucionar el problema».
El cifrado de criptomonedas sigue siendo seguro
La violación de Rashid involucró la implementación de la billetera de Ledger, no la seguridad de ninguna criptomoneda que pudiera almacenarse en ella, enfatizó Kees Schouten, director senior de productos. aeropuerto internacional de nueva york.
Le dijo a TechNewsWorld: «No hay duda sobre la seguridad de las transacciones de la cadena de bloques y no quedarán expuestas como resultado de este ataque».
«Los piratas informáticos no son piratas informáticos criptográficos», agregó Johnson de Latium. «Es un truco del software del proveedor de la billetera. Si alguien quita la criptografía real que sustenta la criptomoneda, entonces tienes un gran problema».