La empresa de ciberseguridad rusa Kaspersky publicó recientemente en su blog un problema con falsas billeteras que se hacen pasar por las billeteras físicas de Trezor.
En un escenario en el cual cada vez más personas tienen la necesidad de la autocustodia de sus criptomonedas, Kaspersky recuerda a los usuarios lo importante que es utilizar dispositivos de hardware wallet originales. El 10 de mayo Stanislav Golovanov hizo este blog para alertar al respecto.
El blog describe el modo como atacantes se hacen del control de las claves privadas de los usuarios. Según se reporta, una víctima adquirió una billetera de hardware adulterada que se hacía pasar por una wallet cripto Trezor Modelo T. En su exterior, el dispositivo era «idéntico» a una billetera original, incluso presentaba un conjunto estándar de funciones de billetera.
El usuario que adquirió el producto observó cómo su dispositivo realizaba una transferencia sin su consentimiento. Esto en apariencia es «imposible», debido a que el monedero estaba vinculado a su cold wallet Trezor, el cual necesita que se accione su botón físico en el aparato para confirmar una orden. Para más complicación en el asunto, la persona tenía el aparato guardado en una caja fuerte en la que una conexión a Internet también es imposible.
Kaspersky revisó el caso y a primera vista, no se encontró nada inusual en el dispositivo, al menos aparentemente porque al destaparlo, se encontraron con que existían grandes cantidades de pegamento y cinta adhesiva de doble faz en lugar de la unión ultrasónica utilizada en los Trezor de fábrica. Había en el interior un microcontrolador que mostraba indicios de haber sido soldado. En vez de tener un microcontrolador STM32F427 original, tenía otro, STM32F429, el cual desactiva algunos mecanismos de seguridad importantes.
Evidentemente; El dispositivo no era original, según lo dicho en el blog:
Se trataba de un clásico ataque a la cadena de suministro en el que una víctima desprevenida compró un dispositivo ya pirateado
La única forma probable de que los atacantes hubieran efectuado esta transacción mientras que el monedero offline estaba guardado en la caja fuerte es que copiaron la clave privada después de generarla antes de vender el dispositivo, obteniéndola así de forma previa.
De acuerdo al historial de transacciones, la cual se muestra en la imagen precedente, tuvieron la paciencia de esperar un mes luego de que se acreditaran fondos al monedero por vez primera antes de sustraer el dinero. El probable modus operandi es como sigue:
- Al alterar el controlador en el dispositivo, se eliminó el hardware que detecta si el dispositivo es original, eliminándose las comprobaciones del cargador de arranque de los mecanismos de protección y las firmas digitales.
- La frase semilla usó una frase previamente generada en el software pirateado: Al reiniciar el monedero, la frase semilla generada aleatoriamente es sustituida por una de las 20 frases semilla pregeneradas almacenadas en el firmware pirateado. La víctima utilizaba esa frase alterada en lugar de una nueva y única.
- Manipulación de la contraseña para la frase semilla: Si el usuario optaba por el paso adicional de establecer una protección de la semilla maestra, sólo se usaba su primer símbolo (a…z, A…Z, o ! para cualquier carácter especial),esto facilitaba el que, junto con la opción sin contraseña, sólo habría 64 combinaciones posibles, lo cual hacía relativamente sencillo descifrar una cartera falsa, porque sólo habría que hacer (64×20=1280 combinaciones).
Este tipo de problemas no es algo nuevo, ya que en el año 2022 Trezor abordó problemas de seguridad relacionados con dispositivos de la marca adulterados.
As described in the article, it seems highly probable it’s the case from May 2022, when several fake devices from an unauthorized Russian reseller surfaced. We promptly alerted our customers via blog. Since then, no such incidents have been reported to us.https://t.co/umoPTDUKOF
— Trezor (@Trezor) May 15, 2023
Como se describe en el artículo, parece muy probable que sea el caso de mayo de 2022, cuando aparecieron varios dispositivos falsos de un revendedor ruso no autorizado. Alertamos rápidamente a nuestros clientes a través del blog. Desde entonces, no se nos han informado incidentes de este tipo.
En ese entonces, el problema se presentó principalmente en las billeteras Modelo T de la compañía que eran adquiridos de vendedores en el mercado ruso. La empresa manifestó lo siguiente:
Se reemplazaron algunos componentes internos, lo que permitió a los actores maliciosos falsificar el comportamiento del dispositivo y hacer que sus características de seguridad fueran redundantes
Según el portal web de Trezor, cuentan en la actualidad con aproximadamente 50 distribuidores oficiales en todo el mundo, en países tales como Canadá, Estados Unidos, Singapur, India, Israel, Bielorrusia y Ucrania, y actualmente no hay distribuidores autorizados de billeteras Trezor en Rusia.
Una de las principales medidas para protegerse de este tipo de ataques es comprar el monedero directamente desde el portal del vendedor oficial y elegir modelos con versiones especiales de microcontroladores protegidos. En el caso de la víctima reseñada en el blog, la cual no fue identificada, compró el dispositivo desde un portal externo a los canales oficiales.
Como paso adicional, Trezor también recomienda a sus usuarios seguir los pasos para autenticar sus billeteras, suministrando guías oficiales para el Model One y el Model T.
Imágenes tomadas del blog de Kaspersky
Imagen Principal: Cryptonews
¿Más temas de interés?:
Comunidad de Polkadot organizará workshops formativos y meetups en Ciudad de México
Tether fortalecerá sus reservas por medio de compras de Bitcoin con sus beneficios netos
Lightning Labs lanza Taproot Assets, permitiendo emitir tokens en la red de Bitcoin
