Kraken Wallets: la caja fuerte se puede hackear en 15 minutos de acceso físico

Kraken : les wallets de Trezor piratables en 15 minutes d

El equipo de investigación de seguridad de Kraken Security Labs ha identificado una falla de seguridad crítica en las billeteras criogénicas de Trezor. Esto permitiría a los piratas informáticos potenciales extraer semillas en menos de 15 minutos.

Ataque relativamente simple

Semen, que se puede traducir como una frase mnemotécnica, es una herramienta que los usuarios tienen recupera tus fondos incluso si su billetera está rota, perdida o robada. Además, si llega a manos de una persona malintencionada, puede fácilmente robar fondos billeteras asociadas con esta semilla.

Si bien brinda muchos detalles técnicos, Kraken explica que fue posible recuperar núcleos de billetera encriptados utilizando las tensiones de los dos modelos. Bóveda uno y caja fuerte modelo t.

Aunque este ataque requiere acceso físico a la billetera, se puede realizar usando y velocidad y facilidad inquietante. Aunque la semilla está encriptada, los investigadores lograron forzar la combinación, desbloqueando así el acceso a la billetera. solo 2 minutos :

» Este ataque se basa en picos de voltaje para extraer el kernel encriptado. Esta investigación inicial requirió algunos conocimientos y equipos por valor de varios cientos de dólares, pero estimamos que nosotros (o los delincuentes) podríamos producir en masa equipos fáciles de usar que podrían venderse por alrededor de $ 75. «

De acuerdo a Nick Percoco, director de seguridad de Kraken, la falla es una falla inherente en el microcontrolador utilizado en las billeteras de Vault, por lo que la vulnerabilidad persiste a pesar de que Vault es consciente de ello. El fabricante tendría que corregir este error. reconsiderar por completo el diseño de sus carteras y tal vez se parezca a todos los modelos que hay actualmente en el mercado:

» Es un error que está en el hardware, no algo que simplemente puedan actualizar y corregir para todos sus clientes. Para solucionar este problema, harían bien en lanzar un nuevo dispositivo. «

👉 Lea el mismo tema: ¿Cómo proteger y almacenar sus criptomonedas?

la respuesta de la bóveda

Horas después de que Kraken informara sobre la vulnerabilidad, la respuesta de Trezor fue recordar a los usuarios que deben tener cuidado de no dar acceso a nadie a sus billeteras para proteger sus recursos de tales ataques. Agregaron:

» Es importante tener en cuenta que este ataque solo es viable si la función Passphrase no protege el dispositivo. Una frase de contraseña fuerte reduce por completo las posibilidades de un ataque exitoso. «

los frase de contraseña Yippee función opcional un dispositivo de Trezor que permite a los usuarios crear carteras ocultas. Las frases de contraseña sirven como protección de semilla secundaria y son la máxima protección contra ataques que involucran acceso físico. Para resolver temporalmente este problema, Vault haría bien en eliminar la naturaleza opcional de esta función.

El equipo de Trezor también agregó que conocen muy bien la existencia de este problema, que permite que un atacante con conocimientos especializados obtenga un sésamo raro, que es una semilla.

La bóveda intentó un poco torpemente minimizar la gravedad del problema señala que la principal amenaza para los poseedores de criptomonedas eran, de hecho, los ataques remotos y en línea, y agrega que cualquier hardware es propenso a la piratería.

Aunque, según el fabricante, no constituyen ataques físicos del 6% del número total de intentos de acceder a los fondos de sus billeteras, el equipo concluyó que sí tan parcial abordar las vulnerabilidades físicas en lugar de las remotas.

Si eres usuario de la billetera Vault, no olvides activar la función de frase de contraseña para protegerte de tal ataque. Aunque esta opción no es realmente práctica, Kraken recomienda su uso y reconoce su viabilidad. Recuerde que, al igual que una contraseña, su frase de contraseña debe ser lo suficientemente fuerte como para ralentizar posibles ataques de fuerza bruta.

Boletín 🍞

Recibe un resumen de los criptomensajes todos los domingos 👌 Y listo.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *