Kraken Security Labs descubrió vulnerabilidad en la billetera de criptomonedas KeepKey

Kraken Security Labs descubrió vulnerabilidad en la billetera de criptomonedas KeepKey

Los empleados de la compañía de investigación Kraken Security Labs descubrieron una vulnerabilidad en la billetera de criptomonedas de hardware KeepKey a través de la cual los atacantes podían obtener acceso a los activos del usuario.

Los investigadores informaron que, al tener acceso físico al dispositivo, un atacante podría extraer una frase semilla encriptada protegida por un código PIN que contenga de 1 a 9 dígitos, ya que dicha protección está rota por simples ataques de fuerza bruta. Al mismo tiempo, es imposible eliminar la vulnerabilidad, ya que para esto KeepKey necesita cambiar la billetera a nivel de hardware.

Se realiza un ataque llamado «falla de energía» en el microcontrolador utilizado en las billeteras KeepKey. Con la ayuda de ciertas manipulaciones maliciosas con el poder, es posible influir en el primer elemento del software descargado por el dispositivo, en este caso el «código BootROM», dijo Kraken Security Labs.

Puede construir un dispositivo que pueda llevar a cabo tal ataque por alrededor de $ 75, pero los investigadores describieron cómo los usuarios pueden protegerse del pirateo. Primero, debe intentarlo para que nadie, excepto el usuario, tenga acceso físico al dispositivo. Si un usuario pierde un dispositivo o es robado, esta vulnerabilidad se puede usar para acceder a los activos de criptomonedas.

Los expertos en ciberseguridad también recomiendan agregar una frase de contraseña BIP39 a través de la extensión KeepKey Client. Esta frase de contraseña es un poco incómoda de usar, pero no está almacenada en el dispositivo y, por lo tanto, no es vulnerable a ataques. Los investigadores notaron:

“Aunque la mayor parte de la base de código de KeepKey se basa en Trezor One, siguen siendo diferentes. Los desarrolladores de KeepKey agregaron varios mecanismos que supuestamente harían que el firmware de la billetera fuera inmune a los ataques de falla. Se demostraron ataques similares en el evento Wallet.Fail, pero resultó que todas estas medidas no fueron efectivas ”.

SolarisBank lanza servicio de custodia de activos digitales

SolarisBank lanza servicio de custodia de activos digitales

CoinShares: los mineros chinos de BTC dan hasta el 66% del hashrate global

CoinShares: los mineros chinos de BTC dan hasta el 66% del hashrate global