Ayer, el equipo de Monokh informó una noticia impactante, ya que descubrieron una vulnerabilidad en una de las billeteras de hardware más famosas, que está considerada entre las más seguras, es decir, Ledger.
— Mo (@mo_nokh) August 4, 2020
Como se puede leer, el problema se refiere a transacciones que no se procesan correctamente, lo que hace que los usuarios crean que se ejecutan otras transacciones de blockchain en lugar de transacciones de Bitcoin (BTC).
El problema se produce al usar otras aplicaciones que no sean las aplicaciones oficiales de billetera, por ejemplo, si confirmamos una transacción de Litecoin, firmaremos una transacción de Bitcoin.
En detalle esto es lo que sucede:
- Abre la aplicación Litecoin;
- Recupere las direcciones de bitcoin (segwit) de la red principal mediante getWalletPublicKey (’84’/0’/’). PublicKey;
- Consulta UTXOs y construye una transacción de bitcoin para gastar salidas;
- Enviar createPaymentTransactionNew (…) para solicitar al dispositivo que firme esta transacción;
- Reciba la transacción firmada válida de Bitcoin Mainnet.
Ledger, una vulnerabilidad ya conocida
Aunque este problema se informó a Ledger hace más de un año, precisamente el 18 de enero de 2019, no se ha hecho nada al respecto y por tanto se ha publicado, por lo que ahora Ledger tendrá que intervenir para solucionar el problema.
Estas son las versiones afectadas por el problema, así que verifique si su Ledger estuvo involucrado:
- Firmware: todas las versiones. Actualmente 1.6.0;
- Versiones de la aplicación: todas las versiones. Actualmente 1.4.3;
- Aplicaciones: cualquier aplicación derivada de la aplicación Bitcoin como para btchip_context.h;
- Aplicaciones probadas: Bitcoin Testnet, Litecoin.
Lo más desconcertante de Ledger es la cantidad de errores que están surgiendo.
Por ejemplo, la vulnerabilidad reciente descubierta en Ledger Nano X, o la violación de datos confirmada hace un par de días, donde se han robado más de 1 millón de direcciones de correo electrónico de más de 9.500 clientes.
No olvidemos que los delincuentes ahora tienen estos datos y podrían explotarlos en su beneficio y apuntar a todos los que tengan el dispositivo que contenga esta vulnerabilidad.
