El fabricante de carteras de hardware populares para almacenar criptomonedas Ledger respondió a la presentación del equipo wallet.fail, que anunció la identificación de varios vectores de ataques en sus dispositivos.
"No pudieron eliminar el PIN o la frase semilla del dispositivo robado. Todos los activos críticos en el elemento de seguridad están protegidos, escribe la compañía.
No se preocupe, sus activos de criptomoneda siguen siendo seguros ".
En particular, la modificación física de la cartera de Ledger Nano S seguida por la instalación de malware en la computadora de la víctima y la posibilidad de firmar transacciones después de ingresar el código PIN se denomina "impráctica".
- "Un pirata informático orientado a objetivos definitivamente utilizará técnicas más efectivas, por ejemplo, instalar una cámara para corregir un código PIN en el momento de su entrada por parte del usuario".
Según la compañía, obtener acceso físico al dispositivo e instalar malware en la computadora de la víctima es demasiado complicado y requiere que el pirata informático espere a que el usuario inicie la transacción , por lo que es poco probable que alguien emprenda su implementación. Al mismo tiempo, no niegan que esto sea posible.
Otro escenario, donde los investigadores instalaron su propio firmware en un microprocesador, realmente le permite poner el dispositivo en modo de depuración, dijo Ledger, agregando que es probable que las capacidades del presunto atacante sean limitadas.
"Dijeron que habían identificado una manera de evitar el cheque del microprocesador, pero no mostraron cómo se usó el error".
De manera similar, los desarrolladores comentan cómo extraer un PIN de un dispositivo Ledger Blue mediante un ataque de “aprendizaje automático controlado”.
"Este ataque es definitivamente muy interesante, no te permite extraer el PIN en condiciones reales ", escribe la compañía.
Para resolver el problema, ya hemos introducido un teclado aleatorio, con el que se ingresa el código PIN. Una vez más, es más fácil configurar la cámara para corregir el PIN cuando el usuario lo ingresa ".
Ledger también criticó al equipo de wallet.fail por decidir demostrar públicamente las vulnerabilidades de sus dispositivos en la conferencia, en lugar de recurrir al programa de captura de errores proporcionado para tales casos.
"Creemos que sus conclusiones no indican la presencia de vulnerabilidades que puedan usarse en la práctica" , agrega la compañía.
Comparte tu opinión sobre este tema en los comentarios a continuación.
