Seguridad

Ledger dice haber evitado “uno de los hackeos más grandes de la historia”

Charles Guillemet, director de tecnología de la empresa fabricante de hardware wallets Ledger, aseguró que el equipo de seguridad de la compañía evitó “lo que posiblemente hubiera sido uno de los hackeos más grandes de la historia de las criptomonedas”.

En su tuit, Guillemet hace referencia a una vulnerabilidad encontrada en el código de Trust Wallet. Esta es una wallet de criptomonedas para móviles que posee también una extensión de navegador. Es desarrollada por Binance y tiene más de 60 millones de usuarios, según su sitio web.

Desde su cuenta oficial de Twitter, Trust emitió una serie de tuits para informar sobre una vulnerabilidad en su extensión del navegador que afectó a las direcciones creadas entre el 14 y el 23 de noviembre de 2022.

Se identificaron dos vulnerabilidades que resultaron en una pérdida total de USD 170.000. Además, se informó que quedan USD 88.000 en direcciones afectadas. En esos casos, Trust recomienda a los usuarios afectados (quienes habrán recibido una notificación alertando de la situación) mover los fondos lo antes posible.


Usuarios afectados.
Así era la notificación que recibían los usuarios afectados. Fuente: Trust Wallet.

Detalles sobre la vulnerabilidad en Trust Wallet

La falla se descubrió “tres días después del lanzamiento de la extensión” durante una auditoría por parte de Donjon, equipo de seguridad de Ledger. Tanto estos investigadores como Trust dicen haber retrasado la divulgación pública para evitar posibles ataques inmediatos y reducir los riesgos de seguridad.

Trust Wallet asegura que se tomaron medidas inmediatas para asegurar la mayoría de los fondos en riesgo y que tanto su app para móviles como su extensión de navegador ya se pueden usar con seguridad. Asimismo, detalló en el hilo de Twitter que ha creado un proceso de reembolso para los usuarios afectados.


Trust Wallet informó qué usuarios no se ven afectados por la vulnerabilidad encontrada en su código.
Trust Wallet informó qué usuarios no se ven afectados por la vulnerabilidad encontrada en su código. Fuente: Twitter/@TrustWallet.

Como se ve en la imagen de arriba, Trust informó que no se ven afectados por esta falla los usuarios que solo utilizan la aplicación móvil de Trust Wallet, que solo importaron direcciones de wallets creadas en otro lugar o que crearon una nueva wallet antes o después de esas fechas.

En los comunicados se destaca además que esta vulnerabilidad no está relacionada con el robo de 5.000 ETH que afectó a otras wallets, hecho que se reportó en CriptoNoticias.

Donjon explicó su descubrimiento en Trust Wallet

El equipo de Donjon explicó detalladamente su hallazgo en una publicación en su blog. En el texto, se detalla que la generación de semillas de Trust Wallet tenía una falla en la totalidad de su entropía, que era de solo 32 bits. “La extensión Trust Wallet Chrome se basó en una biblioteca popular para generar el mnemotécnico, pero usó una función aleatoria defectuosa para su entropía”, profundizó Guillemet en su tuit.

Esto significa que las semillas generadas eran predecibles y susceptibles de ser robadas. Los investigadores de este equipo identificaron la vulnerabilidad en la nueva extensión de navegador de Trust Wallet.

Tales circunstancias habrían permitido a un atacante robar todos los activos de cualquier wallet creada con esta extensión. Por eso, el impacto potencial de la vulnerabilidad fue enorme, aunque finalmente se llegó a evitar un hackeo masivo.



Fuente original: https://www.criptonoticias.com/seguridad-bitcoin/ledger-evitado-hackeos-grandes-historia/

Tornado Bitcoin

Tornado Bitcoin

Redacción de TornadoBitcoin. Elegimos las mejores noticias del mundo de las Criptomonedas, NFTs y MetaVerso. Siempre abiertos a colaborar, envíanos un mensaje a través del formulario de contacto.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *