Trezor ha resuelto un fallo de seguridad en sus carteras de hardware Safe 3 y Safe 5 tras una revelación de su rival Ledger, que descubrió una forma de eludir algunas de las contramedidas existentes de Trezor contra los ataques a la cadena de suministro.
Trezor responde a los hallazgos de seguridad de Ledger
El proveedor de billeteras de hardware Trezor ha abordado una vulnerabilidad en sus modelos Safe 3 y Safe 5 después de que una revisión de seguridad realizada por el equipo de Donjon de Ledger expusiera posibles debilidades en la arquitectura de dos chips de los dispositivos. La falla, descrita como una amenaza "teórica", solo podría explotarse a través de complejos ataques físicos a la cadena de suministro, que probablemente afectarían a dispositivos de segunda o tercera mano.
La vulnerabilidad salió a la luz después de que Ledger compartiera sus hallazgos con Trezor, lo que provocó una divulgación pública por parte de este último el 5 de marzo
Trezor declaró en X.com:
"Ledger Donjon evaluó recientemente nuestra familia Trezor Safe y reutilizó con éxito un ataque previamente conocido para demostrar cómo se pueden eludir algunas contramedidas contra los ataques a la cadena de suministro en Trezor Safe 3".
Eludir las protecciones de la cadena de suministro
Según el informe del 12 de marzo de Ledger, su equipo de investigación de seguridad de Donjon logró reutilizar un método de ataque físico conocido para demostrar cómo las operaciones criptográficas en el microcontrolador de los modelos Safe 3 y 5 de Trezor aún podían ejecutarse, a pesar de las salvaguardas existentes. El microcontrolador, que funciona en conjunto con un chip de elemento seguro en el diseño de dos chips de Trezor, fue identificado como un nuevo vector de ataque potencial.
Si bien Trezor había implementado comprobaciones de integridad de firmware para detectar software manipulado, Ledger demostró que estas salvaguardas podían eludirse en condiciones específicas. Esto indicó que incluso con chips de elementos seguros diseñados para bloquear ataques de bajo costo como fallas de voltaje, un atacante experto podría comprometer el dispositivo apuntando al microcontrolador.
Los problemas de Trezor solucionan y tranquilizan a los usuarios
Tras su revisión interna de los hallazgos de Ledger, Trezor confirmó que había tomado medidas para mitigar la vulnerabilidad. La compañía enfatizó que el exploit no representaba un riesgo inmediato para los usuarios y que no se requería ninguna acción de su parte. Reiteró que su enfoque de seguridad por capas sigue siendo eficaz para defenderse de las amenazas de la cadena de suministro.
En una declaración en X, Trezor reconoció los desafíos inherentes a la ciberseguridad y señaló que, si bien se habían emitido parches de firmware, las actualizaciones de software por sí solas no pueden eliminar todos los riesgos. La compañía aconsejó a los usuarios que solo compraran dispositivos directamente de minoristas autorizados para minimizar la exposición a la manipulación de la cadena de suministro.
Colaboración de la industria en estándares de seguridad
El director de tecnología de Ledger, Charles Guillemet, elogió la pronta respuesta de Trezor, declarando:
"Mejorar la seguridad general del ecosistema es esencial a medida que trabajamos hacia una adopción más amplia de las criptomonedas y los activos digitales".
Ledger se ha enfrentado a sus propios desafíos de seguridad en los últimos años. En 2023, un exploit en la biblioteca de conectores de Ledger provocó una pérdida de USD 484,000 en fondos criptográficos. Una violación separada en 2020 comprometió los datos personales de más de 270,000 clientes.
Descargo de responsabilidad: Este artículo se proporciona solo con fines informativos. No se ofrece ni se pretende utilizar como asesoramiento legal, fiscal, de inversión, financiero o de otro tipo.
El contenido es solo de referencia, no una solicitud u oferta. No se proporciona asesoramiento fiscal, legal ni de inversión. Consulte el Descargo de responsabilidad para obtener más información sobre los riesgos.
Trezor se apresura a parchear la vulnerabilidad marcada por su rival Ledger
Trezor ha resuelto un fallo de seguridad en sus carteras de hardware Safe 3 y Safe 5 tras una revelación de su rival Ledger, que descubrió una forma de eludir algunas de las contramedidas existentes de Trezor contra los ataques a la cadena de suministro.
Trezor responde a los hallazgos de seguridad de Ledger
El proveedor de billeteras de hardware Trezor ha abordado una vulnerabilidad en sus modelos Safe 3 y Safe 5 después de que una revisión de seguridad realizada por el equipo de Donjon de Ledger expusiera posibles debilidades en la arquitectura de dos chips de los dispositivos. La falla, descrita como una amenaza "teórica", solo podría explotarse a través de complejos ataques físicos a la cadena de suministro, que probablemente afectarían a dispositivos de segunda o tercera mano.
La vulnerabilidad salió a la luz después de que Ledger compartiera sus hallazgos con Trezor, lo que provocó una divulgación pública por parte de este último el 5 de marzo
Trezor declaró en X.com:
"Ledger Donjon evaluó recientemente nuestra familia Trezor Safe y reutilizó con éxito un ataque previamente conocido para demostrar cómo se pueden eludir algunas contramedidas contra los ataques a la cadena de suministro en Trezor Safe 3".
Eludir las protecciones de la cadena de suministro
Según el informe del 12 de marzo de Ledger, su equipo de investigación de seguridad de Donjon logró reutilizar un método de ataque físico conocido para demostrar cómo las operaciones criptográficas en el microcontrolador de los modelos Safe 3 y 5 de Trezor aún podían ejecutarse, a pesar de las salvaguardas existentes. El microcontrolador, que funciona en conjunto con un chip de elemento seguro en el diseño de dos chips de Trezor, fue identificado como un nuevo vector de ataque potencial.
Si bien Trezor había implementado comprobaciones de integridad de firmware para detectar software manipulado, Ledger demostró que estas salvaguardas podían eludirse en condiciones específicas. Esto indicó que incluso con chips de elementos seguros diseñados para bloquear ataques de bajo costo como fallas de voltaje, un atacante experto podría comprometer el dispositivo apuntando al microcontrolador.
Los problemas de Trezor solucionan y tranquilizan a los usuarios
Tras su revisión interna de los hallazgos de Ledger, Trezor confirmó que había tomado medidas para mitigar la vulnerabilidad. La compañía enfatizó que el exploit no representaba un riesgo inmediato para los usuarios y que no se requería ninguna acción de su parte. Reiteró que su enfoque de seguridad por capas sigue siendo eficaz para defenderse de las amenazas de la cadena de suministro.
En una declaración en X, Trezor reconoció los desafíos inherentes a la ciberseguridad y señaló que, si bien se habían emitido parches de firmware, las actualizaciones de software por sí solas no pueden eliminar todos los riesgos. La compañía aconsejó a los usuarios que solo compraran dispositivos directamente de minoristas autorizados para minimizar la exposición a la manipulación de la cadena de suministro.
Colaboración de la industria en estándares de seguridad
El director de tecnología de Ledger, Charles Guillemet, elogió la pronta respuesta de Trezor, declarando:
"Mejorar la seguridad general del ecosistema es esencial a medida que trabajamos hacia una adopción más amplia de las criptomonedas y los activos digitales".
Ledger se ha enfrentado a sus propios desafíos de seguridad en los últimos años. En 2023, un exploit en la biblioteca de conectores de Ledger provocó una pérdida de USD 484,000 en fondos criptográficos. Una violación separada en 2020 comprometió los datos personales de más de 270,000 clientes.
Descargo de responsabilidad: Este artículo se proporciona solo con fines informativos. No se ofrece ni se pretende utilizar como asesoramiento legal, fiscal, de inversión, financiero o de otro tipo.