Nuestro Broker
Puntos Importantes:
- Actualizaciones nuevas de Trezor Model T (versión 2.3.3) y Trezor Model One (1.9.3) mejoraría la seguridad de tus contraseñas.
- Tanto el monedero Trezor como KeepKey son Vulnerables a posibles ataques de secuestro de Bitcoin.
- KeepKey aun no tiene soluciones con dicha vulnerabilidad, no lo considera una prioridad.
En un comunicado, SatoshiLabs dio a conocer una nueva actualización de firmware para Trezor Model T (versión 2.3.3) y Trezor Model One (1.9.3), esta corrección para ambos modelos fue lanzada el día 2 de septiembre de 2020, estas actualizaciones te ofrecen una mejora de seguridad relacionada con la forma en que usa su frase de contraseña.
El problema fue revelado a SatoshiLabs (Trezor) el día 15 de abril de 2020, y también fue comunicado a ShapeShift (KeepKey), el día 7 de mayo de 2020, que tienen la misma vulnerabilidad y que aún no han resuelto.
La empresa de ShapeShift (KeepKey) dice:
“aun no tenemos una solución para el desarrollo, además se está trabajando primero en elementos de mayor prioridad”.
¿Cuál es la vulnerabilidad?
Cabe resaltar que esta vulnerabilidad es debido a que el sistema que tenía Trezor, (y que tiene KeepKey), no requería de una confirmación de contraseña en el dispositivo, tal como fue descrito en el comunicado publicado este 2 de septiembre de 2020 por Bencun.
Marko Bencun fue quien halló el error, y admite el uso de contraseñas opcionales (también conocida como contraseña mnemotécnica) para usuarios expertos.
Al habilitar contraseña mnemotécnica, se activa un mecanismo con el cual cada vez que se introduzca una palabra errónea se crea una nueva dirección, que se muestra como si fuera la principal del monedero.
Una persona maliciosa podría modificar los datos compartidos a través de USB entre el monedero y la computadora y podría enviar una contraseña falsa arbitraria a Trezor o KeepKey, y mantener las monedas recibidas en esta cartera como rehén. La frase de contraseña introducida por el usuario podría simplemente ser ignorada, y la frase de contraseña real utilizada, sólo sería conocida por el atacante.
Sin la frase de contraseña, el usuario no tiene forma de recuperar el control de las monedas sin la cooperación del atacante.
A su vez, el usuario no se daría cuenta de que algo malo estuviera pasando hasta que el atacante bloquea el acceso a las monedas, exigiendo un rescate para liberar las monedas de nuevo.
Que ofrece la actualización de Trezor
La actualización de Trezor Model T (versión 2.3.3) y Trezor Model One (1.9.3), presenta una solicitud de confirmación de la contraseña al usuario en el monedero. Así mismo, la pantalla del monedero mostrará un mensaje con la contraseña y pedirá la verificación antes de su uso.
Ahora los monederos están más seguros con la doble verificación, sin embargo, todo lo que se maneja por la red de internet puede estar expuesto.
